Développement

Sécuriser les échanges avec JWT

L'Équipe Alphorm Par L'Équipe Alphorm

Assurer la sécurité des échanges d’informations entre une application et un serveur est un défi majeur.

Sans une identification sécurisée, les données sensibles risquent d’être exposées, compromettant la sécurité des utilisateurs.

Cet article propose d’explorer l’utilisation des tokens JWT pour authentifier et autoriser les utilisateurs efficacement.

Table de matière
Introduction à l'authentification JWTJWT : Comprendre JSON Web TokenSécurisation des échanges avec JWTProjet : Implémentation des tokens JWTConclusion sur la sécurité JWTFAQConclusion

Formation Créer une Architecture Moderne pour Applications Android

Apprenez à construire des applications Android avec une architecture moderne et performante!

Découvrir cette formation

Introduction à l'authentification JWT

Lorsque vous développez une application qui interagit avec un serveur via des méthodes HTTP comme GET et POST, il est crucial d’assurer la sécurité des échanges d’informations. Le principal défi réside dans l’identification sécurisée de l’utilisateur et l’accès aux ressources de manière contrôlée. C’est ici qu’intervient l’utilisation des tokens JWT, un mécanisme largement utilisé pour authentifier et autoriser les utilisateurs.

Diagramme montrant le processus de JWT

JWT : Comprendre JSON Web Token

Question : Qu’est-ce qu’un JWT (JSON Web Token) ?

Un JWT est une chaîne de caractères qui permet au serveur de vérifier l’identité de l’utilisateur et de contrôler l’accès aux ressources. Ce token est crypté et contient des informations (claims) sur l’utilisateur et ses permissions.

Sécurisation des échanges avec JWT

1. Préparation du Token

Avant de pouvoir utiliser un JWT, certaines préparations sont nécessaires tant du côté client que du côté serveur :

  • Côté serveur :Le serveur prépare les informations (claims) qui seront encapsulées dans le token. Ces informations peuvent inclure l’identité de l’utilisateur, les ressources auxquelles il a accès, etc.
  • Côté client :Le client doit être capable de recevoir et stocker le token pour le renvoyer lors des requêtes ultérieures.

2. Génération du Token

La génération du token se fait côté serveur :

  • Le serveur reçoit une requête POST du client avec les informations d’authentification.
  • À partir de ces informations, le serveur génère un token unique.
  • Ce token est ensuite envoyé au client, qui le conserve pour les futures requêtes.

3. Vérification du Token

À chaque requête, le client envoie le token au serveur :

  • Le serveur déchiffre le token et vérifie les informations encapsulées.
  • Il contrôle également la validité temporelle du token (expiration).
  • Si le token est valide, l’accès aux ressources est accordé ; sinon, une erreur d’authentification est renvoyée.

4. Gestion des Échecs d’Authentification

Le serveur peut rejeter un token pour plusieurs raisons :

  • Le token a expiré.
  • Le token est invalide ou a été falsifié.
  • Les informations encapsulées ne correspondent pas aux attentes du serveur.
Étape
Résumé
Préparation du Token
Le serveur prépare les informations (claims) pour le token et le client le reçoit et le stocke.
Génération du Token
Le serveur reçoit les informations d’authentification, génère un token unique et l’envoie au client.
Vérification du Token
À chaque requête, le client envoie le token au serveur, qui le vérifie pour sa validité et son expiration.
Gestion des Échecs d’Authentification
Le serveur rejette les tokens expirés, invalides, ou avec des informations incorrectes.

Projet : Implémentation des tokens JWT

Création du Projet

Commencez par créer un nouveau projet. Assurez-vous d’inclure les bibliothèques nécessaires pour la gestion des tokens JWT, notamment pour l’authentification.

Organisation du Code

Créez des classes séparées pour les différentes responsabilités :

  • Verbe.kt :Pour la gestion des verbes.
  • JwtConfig.kt :Pour la configuration et la gestion des tokens JWT.
  • VerbeRouting.kt :Pour la gestion des routes HTTP.

Définition de la Classe Verbe

Dans cet exemple, nous utilisons une classe Verbe pour représenter des objets stockés en base de données. Cette classe comprend :

  • Un identifiant unique (ID).
  • L’infinitif du verbe.
  • Une liste des formes conjuguées (par exemple, les temps du verbe). 
				
					
data class Verbe(val id : Int, val infinitif : String, val temps : List<String>)

Configuration du JWT

Une classe JwtConfig (sous forme de singleton) est utilisée pour définir les paramètres du token :

  • Secret :Clé secrète pour le chiffrement du token, connue seulement du serveur.
  • Issuer :Nom du serveur émettant le token.
  • Timeout :Durée de validité du token (par exemple, 10 heures).
  • Algorithme :Algorithme utilisé pour le chiffrement. 
				
					
object JwtConfig {
private
  const val secret = "secret_key" // Doit être sécurisé
      private const val issuer = "server_name" private const val validityInMs =
          36_000_00 * 10 // 10 heures
      private val algorithm = Algorithm.HMAC256(secret) private val verifier
      : JWTVerifier =
          JWT.require(algorithm).withIssuer(issuer).build() fun generateToken(
              verbe : Verbe)
      : String = JWT.create()
                     .withSubject("Authentication")
                     .withIssuer(issuer)
                     .withClaim("id", verbe.id)
                     .withArrayClaim("temps", verbe.temps.toTypedArray())
                     .withExpiresAt(
                         Date(System.currentTimeMillis() + validityInMs))
                     .sign(algorithm) fun validateToken(token : String)
      : DecodedJWT = verifier.verify(token)
}

Le token généré est une chaîne de caractères que le client utilisera pour ses requêtes.

Exemple de configuration JWT en Kotlin pour API sécurisée

Génération du Token

Voici un exemple de code pour générer un token :

  • Claims :Ajoutez des informations comme l’ID de l’utilisateur, ses permissions, etc.
  • Expiration :Définissez la durée de validité du token.
  • Signature :Utilisez l’algorithme défini pour signer le token. 
				
					
fun Route.verbeRouting() {
  val verbeStorage = mutableListOf<Verbe>()
      // Route GET all - avec vérification JWT
      authenticate("jwt-auth") {
    get("/verbes") {
      if (verbeStorage.isNotEmpty()) {
        call.respond(verbeStorage)
      } else {
        call.respondText("Pas de verbes disponibles",
                         status = HttpStatusCode.OK)
      }
    }
  }
  // Route GET avec ID - avec vérification JWT
  authenticate("jwt-auth") {
    get("/verbes/{id}") {
      val id = call.parameters["id"] ?.toIntOrNull() if (id == null) {
        call.respondText("ID manquant ou invalide",
                         status = HttpStatusCode.BadRequest) return @get
      }
      val verbe = verbeStorage.getOrNull(id) if (verbe != null) {
        call.respond(verbe)
      }
      else {
        call.respondText("Pas de verbe avec cet ID",
                         status = HttpStatusCode.NotFound)
      }
    }
  }
  // Route POST - Génération de JWT lors de l'enregistrement d'un verbe
  post("/verbes"){
      val verbe = call.receive<Verbe>() verbeStorage.add(verbe) val token =
          JwtConfig.generateToken(verbe)
              call.respondText("Verbe enregistré avec token: $token",
                               status = HttpStatusCode.Created)}
  // Route DELETE - avec vérification JWT
  authenticate("jwt-auth") {
    delete ("/verbes/{id}") {
      val id = call.parameters["id"] ?.toIntOrNull() if (id == null) {
        call.respondText("ID manquant ou invalide",
                         status = HttpStatusCode.BadRequest) return @ delete
      }
      if (verbeStorage.removeAtOrNull(id) != null) {
        call.respondText("Verbe supprimé", status = HttpStatusCode.OK)
      } else {
        call.respondText("Pas de verbe avec cet ID",
                         status = HttpStatusCode.NotFound)
      }
    }
  }
}

Vérification et Utilisation du Token

Lors de chaque requête client, le serveur :

  • Déchiffre le token.
  • Vérifie les claims et l’expiration.
  • Valide ou invalide l’accès en fonction des résultats.

Implémentation des Routes

Dans l’application, les routes peuvent être protégées par l’authentification JWT :

  • Route protégée :L’accès nécessite un token valide.
  • Route optionnelle :L’accès peut se faire avec ou sans token. 
				
					
fun Application.module() {
  install(Authentication) {
    jwt("jwt-auth") {
      verifier(JwtConfig.verifier) validate {
        credential->if (credential.payload.getClaim("id").asInt() != null) {
          JWTPrincipal(credential.payload)
        }
        else null
      }
    }
  }
  routing { verbeRouting() }
}

Conclusion sur la sécurité JWT

L’intégration d’une authentification JWT dans une application permet de sécuriser les échanges entre le client et le serveur de manière efficace. Le serveur contrôle l’accès aux ressources en fonction des informations encapsulées dans le token, tout en s’assurant que l’identité de l’utilisateur est bien vérifiée. Cette approche est couramment utilisée pour des applications nécessitant un haut niveau de sécurité.

Formez-vous gratuitement avec Alphorm !

Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.

Démarrer gratuitement
illustration processus de paiement en ligne avec étapes claires et convivialité

FAQ

Qu'est-ce qu'un JWT et à quoi sert-il ?
Un JWT, ou JSON Web Token, est une chaîne de caractères cryptée utilisée pour vérifier l’identité d’un utilisateur et contrôler l’accès aux ressources sur un serveur. Il contient des informations appelées claims sur l’utilisateur et ses permissions, permettant ainsi de sécuriser les échanges d’informations et d’authentifier les demandes du client.
La génération d’un token JWT se déroule côté serveur. Lorsqu’une requête POST est reçue avec les informations d’authentification, le serveur crée un token unique à partir de ces données. Ce token est ensuite envoyé au client qui le conserve pour les requêtes futures, garantissant ainsi que chaque demande est sécurisée et authentifiée.
À chaque requête, le client envoie le token JWT au serveur, qui le déchiffre pour vérifier son contenu et s’assurer de sa validité. Le serveur contrôle également l’expiration du token. Si le token est valide, l’accès aux ressources est accordé ; sinon, une erreur d’authentification est renvoyée pour protéger les données.
La sécurisation avec JWT comprend plusieurs étapes : préparation du token avec les claims nécessaires, génération du token lors de l’authentification, vérification du token à chaque requête pour assurer sa validité, et enfin gestion des échecs d’authentification en cas de token expiré ou invalide. Ces étapes garantissent un échange sécurisé entre client et serveur.
Pour intégrer JWT dans un projet, commencez par créer un projet en incluant les bibliothèques nécessaires. Organisez le code en classes pour gérer les verbes, configurer JWT et les routes HTTP. Utilisez un objet pour configurer les paramètres du token, comme le secret, l’issuer, et le timeout, garantissant ainsi une gestion efficace et sécurisée des tokens.

Conclusion

L’intégration de JWT dans vos applications renforce la sécurité des échanges. Comment envisagez-vous d’améliorer vos pratiques d’authentification avec JWT ?

ÉTIQUETÉ : Android
Facebook
Twitter
LinkedIn
Email
WhatsApp
Par L'Équipe Alphorm
Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.

Derniers Articles

Laisser un commentaire