Cette présentation reprend du contenu et suit plusieurs autres présentations et articles sur le Web. Vous trouverez de plus amples informations en y accédant. Elles sont toutefois en anglais :-) Les voici :

• https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/
• http://angular-tips.com/blog/2014/05/json-web-tokens-introduction/
• http://www.httpwatch.com/httpgallery/authentication/
• http://en.wikipedia.org/wiki/Claims-based_identity
• https://scotch.io/tutorials/the-anatomy-of-a-json-web-token
• http://jwt.io/
• http://docs.nodejitsu.com/articles/HTTP/servers/how-to-create-a-HTTPS-server

• Permet de s'authentifier à une API / Application Web
• Pensons à un cookie, mais sans le principe de session
• JWT transporte son état avec lui

                        HTTP/1.1 401 Access Denied
                        WWW-Authenticate: Bearer realm="Mon Serveur"
                        Content-Length: 0
                    

                        POST /login HTTP/1.1
                        Content-Type: application/x-www-form-urlencoded
                        Content-Length: 27
                        username=toto&password=tata
                    

                        HTTP/1.1 200 Ok
                        {token:header.payload.signature}
                    

                        GET /info/ HTTP/1.1
                        Authorization: Bearer header.payload.signature
                    

• Plusieurs autres mécanismes peuvent produire un JWT
• OpenID Connect (OAuth 2.0) - autres échanges de tokens, etc.

• Trois chaînes de caractères séparées par des points
• L'en-tête, le payload et la signature
• Encodage Base64

                        aaaaaaa.bbbbbbbb.cccccccc
                    

• L'en-tête contient deux sections :
• Le type de jeton (JWT)
• L'algorithme de hachage

                        {
                          "typ": "JWT",
                          "alg": "HS256"
                        }
                    

• Le payload va contenir des claims ou des revendications

                {
                  "sub": "1234567890",
                  "name": "John Doe",
                  "admin": true
                }
                    

• C'est l'histoire d'un gars dans un bar...
• Découpler authentification des applications
• Liste d'informations sur l'utilisateur / l'identité
  • Le nom, l'age, le courriel, la liste d'amis

Ils sont tous facultatifs.

iat:

Moment où le jeton a été émis.

iss:

L'émetteur du jeton

sub:

Le sujet du jeton

aud:

À qui s'adresse le jeton

exp:

Moment où le jeton expire. La date actuelle doit être avant ce moment.

nbf:

Moment où le jeton devient actif. Ne doit pas être accepté avant ce moment.

jti:

identifiant unique pour le jeton

La signature utilise un algorithme (ex: HMAC SHA256) où l'en-tête et le payload sont encodés, puis signés à partir d'un secret connu seulement de l'émetteur du jeton (serveur d'authentification) et du consommateur (l'application Web - côté serveur)

                    base64URLEncode (HMACSHA256 ( base64URLEncode (header) + "." +  base64URLEncode (payload)) )
                

• https://www.base64encode.org/
• http://jwt.io/

Les appels AJAX CORS ne transportent pas toujours les cookies

Un JWT est ajouté au headers dans un XMLHttpRequest 2 et peut être utilisé dans un contexte CORS

                        xhr.setRequestHeader('Authorization','Bearer ' + JWTToken);
                    

• L'information sur l'utilisateur est dans le jeton
• Il n'est donc pas nécessaire de garder un mapping entre le jeton et l'information utilisateur (session)
• Il est possible d'ajouter d'autres informations dans les claims privés pour garder l'état. L'état sera plutôt gardé sur l'application client.

• Balanceur de charge : plus besoin de session stickyness
• Cache réseau et CDN : par défaut, ne vont pas cacher lorsque le cookie est envoyé
• Un appel en plus avec OPTIONS
• Attention au poids du jeton

• Traçabilité par l'information du jeton
• Découpler l'authentification du cookie peut simplifier l'indexation, mais peut la complexifier aussi.

• Un Cookie ?
• LocalStorage et SessionStorage
• Attention aux sous-domaines

sessionStorage.setItem("jwtToken", theToken);

XSRF

Tromper une application en faisant rejouer une requête dans le contexte de l'utilisateur connecté

XSS

Injection de code exécutable par le navigateur dans une application Web

• Les jetons JWT sont potentiellement vulnérables au XSS
• Ils sont moins vulnérables aux XSRF que les cookies

• Possibilité d'utiliser un fournisseur externe d'authentification (ex: OAuth2 avec Google)
• SSO entre plusieurs applications - et IAM
• Secret partagé entre application cliente et service d'authentification

• Envoyer le jeton à une URL de rafraîchissement, le valider, puis envoyer un nouveau jeton.

• Le payload n'est pas chiffré, donc ne pas mettre d'information sensible dans le payload
• Il est par contre possible de le chiffre
• JWE et JOSE

• Appels en mode streaming

• https://github.com/auth0/node-jsonwebtoken
• https://www.base64encode.org/
• http://randomkeygen.com/
• https://github.com/expressjs/body-parser

• JSON Web Token (JWT)
• JSON Web Signature (JWS)
• JSON Web Encrytption (JWE)