|
|
| Ligne 302 : |
Ligne 302 : |
|
| |
|
| === 2022-04-25 === | | === 2022-04-25 === |
| https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/ | | [https://www.mechantblog.com/2018/12/token-api-macaroon-jwt/ Le TOKEN API: Simple, JWT et macaron] |
| <pre>
| |
| Vu que le secret peut être asymétrique, Il est possible de créer une clé privée/publique par utilisateur. On génère un token avec la clé privée, et on enregistre la clé publique dans la base de données. Cette clé n’est pas critique et peut être volée sans rien compromettre. Ce qui donnerait ceci:
| |
| Récupération du token dans le header (ou un cookie, une session, etc…)
| |
| Extraction du champs userId dans le payload
| |
| Récupération de la clé publique liée à cet utilisateur
| |
| Vérification du token avec la clé publique
| |
| Si c’est bon, le token est confirmé et on peut faire confiance aux infos du payload
| |
| | |
| RS256 utilise le cryptage à clé publique pour signer le jeton. La signature (hachage) sera créée à l'aide de la clé privée et pourra être vérifiée à l'aide de la clé publique. Ainsi, pas besoin de clé privée ou de secret client à stocker sur le serveur principal, mais le serveur principal récupère la clé publique à partir de l'URL de configuration openid de votre locataire (https://[tenant]/.well-known/openid -configuration) pour vérifier le jeton. Le paramètre KID à l'intérieur de access_toekn sera utilisé pour détecter la bonne clé (publique) à partir de la configuration openid.
| |
| </pre>
| |
|
| |
|
| === 2022-04-26 === | | === 2022-04-26 === |
