Discussion :

[Max Lothaire]

Bonjour,

je suis entrain de construire un blog en deux parties : une partie public qui a accès aux pages html (www.monsite.fr), et une API REST accessible sur un autre domaine(admin.monsite.fr) qui permet d'éditer le contenu.
Les deux parties du blog sont deux applications différentes, chacune dans leur conteneur, et la première n'aura accès à la BDD qu'en lecture seule.

Le reverse proxie serait configuré pour demander un certificat TLS aux clients qui se connecteraient à admin.monsite.fr. ( première couche de d'authentification).
La validation du certificat n'est requis que pour permettre au reverse proxie de savoir si oui ou non il passe la requête à l'application.

À partir de là, que devrais-je faire pour m'authentifier au niveau de l'application ?

Je peux :

1. Configurer le serveur de sorte qu'il ajoute une entête avec les informations authentification
2. Passer le login et le mot de passe dans l'entête à chaque requête
3. Utiliser un jetons avec une date de péremption
4. Utiliser un JSON Web Token

Quel serait le choix le plus pertinent selon vous ?

[Max Lothaire]

J'ai résolu mon problème tout seul:

1. Je vais préférer configurer le reverse proxy le plus simplement possible. Le certificat client devenant seulement l'un des mécanismes identifiants les machines qui établissent la connexion (en plus d'un éventuel VPN et des règles de pare-feu)
2. Envoyer les identifiants à chaque requête peut-être ou fastidieux (on le client les demandant tout le temps à l'utilisateur) ou risqué (on stocke un mot de passe en claire dans la mémoire plus longtemps que nécessaire)
3. Le Token avec date d'expiration nécessite qu'il soit stocké sur le serveur. Ce qui constitue un état, ce qu'une API RESTful ne devrait pas avoir.

Il ne reste que le JSON Web Token
Je vais donc m'orienter vers cette solution.