F5 APM - OAuth JWT Token

J'ai déjà écrit sur Fédération OAuth et OAuth Access Token. Cependant, je n'ai pas encore écrit sur le système de jetons le plus largement utilisé. Jetons JWT. JSON Web Token (JWT, RFC 7519) est un moyen d'encoder les revendications dans un document JSON qui est ensuite signé. Les JWT peuvent être utilisés comme jetons porteurs OAuth 2.0 pour coder toutes les parties pertinentes d'un jeton d'accès dans le jeton d'accès lui-même au lieu de devoir les stocker dans une base de données.

Les avantages offerts par l'utilisation de JWT sont les suivants : Permet la signature et le cryptage des données. Le format est facile à comprendre. Il permet de se déployer comme mécanisme d'authentification dans les appels entre services. La validation des jetons peut être effectuée hors ligne, contrairement aux jetons opaques qui nécessitent une connexion au service qui a émis le jeton pour les valider. Les jetons JWT n'ont pas besoin d'être validés en contactant l'émetteur, il suffit d'avoir la clé publique qui a signé le jeton. Cependant, JWT présente également des inconvénients dont il faut être conscient. Par exemple, ils ne sont pas faciles à révoquer car leur validation, étant hors ligne, ne dépend pas d'un seul point.
 
JWT Token

La représentation d'un jeton JWT est composée de trois parties distinctes séparées par un point (.). Chaque partie a un encodage en base 64 qui, une fois décodé, nous donne un JSON pour les deux premières parties et les données cryptographiques pour la troisième partie. L'en-tête contient le type de jeton et les algorithmes cryptographiques pour sa vérification et/ou son déchiffrement. La charge utile est constituée des données de l'utilisateur (revendications) et le tiers contient la signature ou le cryptage des données qui en assure l'intégrité et/ou la confidentialité.
 

Ci-dessous, vous pouvez voir la génération du jeton JWT, signé par RSA, avec le type d'octroi ROPC approprié dans les cas où le propriétaire de la ressource a une relation de confiance avec le client (par exemple, le client mobile d'un service) et dans les situations où le client peut obtenir les informations d'identification du propriétaire de la ressource. Dans cette méthode d'octroi, au lieu de rediriger l'utilisateur vers le serveur d'autorisation, le client lui-même demandera à l'utilisateur le nom d'utilisateur et le mot de passe du propriétaire de la ressource. Le client enverra ensuite ces informations d'identification au serveur d'autorisation avec les propres informations d'identification du client.
 

A bientôt mes amis ! Avez-vous déjà configuré le jeton JWT dans F5 APM ?

Commentaires