« Mistral apiplatform keycloak » : différence entre les versions
Aucun résumé des modifications |
|||
| Ligne 70 : | Ligne 70 : | ||
En résumé, l'intégration d'API Platform avec Keycloak permet de sécuriser efficacement les API en utilisant des tokens JWT pour l'authentification et l'autorisation, tout en bénéficiant des fonctionnalités avancées de gestion des identités offertes par Keycloak. | En résumé, l'intégration d'API Platform avec Keycloak permet de sécuriser efficacement les API en utilisant des tokens JWT pour l'authentification et l'autorisation, tout en bénéficiant des fonctionnalités avancées de gestion des identités offertes par Keycloak. | ||
== Avec apiplatform et un sevrveur keycloak ensemble difference idtoken et accesstoken ? == | |||
Lorsqu'on utilise API Platform avec Keycloak pour sécuriser des API, deux types de tokens sont souvent impliqués :<br /> | |||
l'**ID Token** et l'**Access Token**. Voici les différences clés entre ces deux types de tokens : | |||
### **Access Token** | |||
1. **Objectif** : L'Access Token est utilisé pour accéder aux ressources protégées d'une API.<br /> | |||
Il est conçu pour être présenté à l'API afin de prouver que l'utilisateur a les droits nécessaires pour effectuer une action spécifique. | |||
2. **Contenu** : Il contient généralement des informations sur les permissions et les rôles de l'utilisateur, mais pas d'informations personnelles sensibles.<br /> | |||
Il peut inclure des scopes qui définissent les actions autorisées. | |||
3. **Audience** : L'audience de l'Access Token est l'API ou le service qui doit être accédé.<br /> | |||
Il est destiné à être utilisé par les services backend pour vérifier les permissions. | |||
4. **Durée de Vie** : L'Access Token a généralement une durée de vie plus courte pour des raisons de sécurité.<br /> | |||
Une fois expiré, un nouveau token doit être obtenu, souvent via un Refresh Token. | |||
5. **Utilisation** : Il est inclus dans les requêtes API, généralement dans l'en-tête HTTP sous la forme `Authorization: Bearer <access_token>`. | |||
### **ID Token** | |||
1. **Objectif** : L'ID Token est utilisé pour transmettre des informations sur l'identité de l'utilisateur authentifié.<br /> | |||
Il est principalement destiné à être utilisé par le client (par exemple, une application frontend) pour obtenir des informations sur l'utilisateur. | |||
2. **Contenu** : Il contient des informations sur l'utilisateur, telles que son nom, son adresse e-mail, et d'autres attributs personnels.<br /> | |||
Il est signé pour garantir son intégrité et son authenticité. | |||
3. **Audience** : L'audience de l'ID Token est le client (l'application) qui a initié la demande d'authentification.<br /> | |||
Il n'est pas destiné à être utilisé pour accéder directement aux ressources API. | |||
4. **Durée de Vie** : L'ID Token a généralement une durée de vie plus courte, similaire à celle de l'Access Token, mais il n'est pas renouvelé automatiquement. | |||
5. **Utilisation** : Il est utilisé par le client pour obtenir des informations sur l'utilisateur et peut être stocké temporairement pour afficher des informations utilisateur dans l'interface utilisateur. | |||
### **Résumé** | |||
- **Access Token** : Utilisé pour accéder aux ressources API, contient des informations sur les permissions, et est destiné aux services backend.<br /> | |||
- **ID Token** : Utilisé pour transmettre des informations sur l'identité de l'utilisateur, contient des attributs personnels, et est destiné au client (application frontend).<br /><br /> | |||
Dans une architecture utilisant API Platform et Keycloak, l'Access Token est essentiel pour sécuriser les endpoints API, tandis que l'ID Token est utile pour gérer les informations utilisateur au niveau de l'application cliente. | |||
[[category:Mistral]] [[category:api]] | [[category:Mistral]] [[category:api]] | ||