Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sécurité des JSON Web Token

Morgiver

Salut,

J'approche le développement d'application REST et pour l'instant je me concentre surtout sur l'authentification avec les Json Web Token.
Il y a un truc qui m'échappe, je n'arrive pas à comprendre comment être sur que même dans une url, on peut balancer un JWT.

Un attaquant pourrait simplement écouter les requêtes et choper le token, il n'aurait plus qu'a l'utiliser pour se faire passer pour moi.
Je ne comprend pas comment le serveur peut valider la source du token étant donné qu'il est encodé coté serveur et non pas coté client.

Si ça se passait avec une pair de clé, j'aurais compris, chacun encode le token et le tour est joué.

Quelqu'un saurait m'aider à comprendre ?

Un grand merci d'avance 🙂

Morgiver

voxdemonix

Morgiver a écrit Un attaquant pourrait simplement écouter les requêtes et choper le token, il n'aurait plus qu'a l'utiliser pour se faire passer pour moi.

C'est pour ça que l'on a inventé https et que l'on fait souvent correspondre les tokens avec d'autres infos (IP, User Agent, geolocalisation).

Morgiver a écrit Je ne comprend pas comment le serveur peut valider la source du token étant donné qu'il est encodé coté serveur et non pas coté client.

D'après ce lien ils utilisent un mécanisme de signature basé sur du Sha256 pour valider le token, et non la source.

Morgiver

Salut Voxdemonix !

J'ai continué les recherches et en effet, le JWT doit être soigneusement configuré pour être utilisé, même en clair.

Pour plus d'infos pour ceux/celles qui tomberaient sur ce post par hasard, voici une liste d'articles intéressant :

Une petite intro rapide : http://jwt.io/introduction/
Un article de fond, expliquant ce que c'est que les JWT, dans un contexte d'utilisation de Laravel et AngularJS : http://www.toptal.com/web/cookie-free-authentication-with-json-web-tokens-an-example-in-laravel-and-angularjs
Comparaison entre les JWT et les Cookies : https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/
De la pratique des JWT dans un contexte d'utilisation de socket.io : https://auth0.com/blog/2014/01/15/auth-with-socket-io/
De la pratique des JWT dans un contexte d'utilisation de NodeJS et AngularJS : http://code.tutsplus.com/tutorials/token-based-authentication-with-angularjs-nodejs--cms-22543

C'est vraiment pas mal, mais faut être au poil sur la configuration du Token, sinon ça peut vite ouvrir une brèche.