Discussion :

[FooFighters]

Bonjour tout le monde

J'aimerais mettre en place une solution informatique basée sur le principe Front / Back.
Côté Front j'utiliserais une technologie type React, Angular et côté Back j'utiliserais une technologie type java spring boot pour implémenter des controller Rest.
Le front viendra faire des requêtes Rest sur le back pour récupérer des données.

J'aimerais ajouter une notion de sécurité à la solution en mettant en place le standard JWT sur le back. Ainsi le client, connaissant le fameux secret, pourrait demander un token au back et pourrait faire des requêtes en précisant le token via le header de la requête.

J'ai trouvé plusieurs tutos expliquant comment mettre en place ce type d'archi. Notamment : https://medium.com/@nydiarra/secure-...n-e57a25806c50

Dans ce tuto, on part du principe qu'on définit quelque part (ici dans une base H2) les différents user de l'appli ainsi que leur rôle (admin ou standard).
Du coup le front pourrait demander un token au back mais il lui faudrait renseigner l'utilisateur et son mot de passe ainsi que le secret défini. Le back regarde dans la base et donne un token relativement au rôle défini pour cet user.

Ma question est simple. La notion de user à définir avec son rôle sur l'appli est-elle nécessaire pour l'utilisation de JWT ?
Ce que j'aurais aimé faire c'est ne pas renseigner et ne pas stocker les user potentiels et leurs rôles.
Simplement le front se contente de demander un token avec le secret sans donner de user et le back donne un token. Qui sera par la suite utilisé dans les header des requêtes.

J'espère m'être fait comprendre

[yildiz-online]

Une bête question, mais, quel intérêt d'un token sans authentification?

[FooFighters]

Et bien on pourrait vouloir utiliser un système de token pour encrypter des échanges sans pour autant implémenter un système de login.

Dans mon cas, il s'agit d'un système inter applications. Une application A va lancer une application B (partie Front de mon application).
Cette application B communique avec un Back end et on veut sécuriser les échanges. On a pas envie d'un système de login/user, juste encrypter les transactions.

[yildiz-online]

Un token ne sert pas à faire de l'encryption.

Si tu veux sécuriser le canal de communication, c'est SSL/TLS (https, wss, ssh) si tu veux sécuriser le contenu, tu l'encryptes avec une clé publique, et le décryptes de l'autre coté avec une clé privée(GPG).

[FooFighters]

D'accord je vois ce que tu veux dire, c'est une mauvaise compréhension de ma part sur l'utilisation des systèmes Token.
En effet ce que je veux c'est sécuriser le contenu donc avec des clés comme tu indiques.

Connais-tu des standard implementant cela ? Ou faut-il forcément faire un "système maison" en créant nos propres algorithmes d'encryptage / décryptage ?

[yildiz-online]

gpg est standard pour l'encryption ou/et signature de messages.