Bonjour,


Contexte :
J'ai créé une API utilitaire qui sérialise et désérialise trois familles de données : binaire (Java, gRPC), chaine de caractères (Base64, JWT, XML), fichier (Excel, CSV).
J'ai nommé cet API "universal-serializer" (lien Github). J'avais déjà créé un sujet pour présenter ce projet ici.


Voici un exemple d'utilisation de mon api JWT :
Code Java : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
String SECRET = "546T78UINqqsvfzfs<vs<sdv_-('U87Y89YG87";
JwtSerializer<MyClass> s = new JwtSerializer<>(MyClass.class, Algorithm.HS256, SECRET);
String jsonWebToken = s.serialize(new MyClass());
MyClass deserialized = s.deserialize(jsonWebToken);
La source de la classe d'implémentation JwtSerializer se trouve ici (lien Github). Cette classe d'implémentation utilise javax.crypto.Mac.

Questions :
  1. Voyez-vous des failles de sécurité dans ma classe d'implémentation JwtSerializer ?
  2. Est-ce que mon API respecte la RFC-7519 ? Y a t-il des choses qui manquent ? Avez-vous des suggestions d'amélioration ?



Je vous remercie par avance, cordialement,