Discussion :

[Badshade23]

Bonjour tout le monde,
Dans un projet personnel, je crée un site web.
Le back est en Java avec l'utilisation de Spring et le front est en Angular.
J'arrive au moment fatidique où je dois gérer la création des utilisateurs ainsi que leurs connexions ^^.
Alors arrive un long moment de chercher dans tous les sens ^^.
J'ai fini par commencer à le faire via JWT et Spring sécurité.
À ça près tout ce passe bien, mais je tombe sur un problème. Après lecture d'innombrables blogs, il revient souvent que pour un gage de sécurité, il vaut mieux stocker le JWT dans un cookie en httponly et secure.
Le problème, c'est que pour l'instant je le stocke en Storage Session :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 public saveToken(token: string) {
    window.sessionStorage.removeItem(TOKEN_KEY);
    window.sessionStorage.setItem(TOKEN_KEY, token);
  }

J'ai regardé de nombreux codes et apparemment, il faut que le serveur une fois la connexion validée envoie au front le cookie et que celui-ci le stocke ou quelque chose comme ça.
Débutant dans la programmation web et apprenant tout en autodidacte, j'avoue que je me perds un peu dans tout ça.
J'aimerais avec des explications sur tout ceci et si vous avez des exemples en plus ça serai parfait ^^.
Merci d'avance et bonne journée !

[kevin254kl]

Salut,

Ce n'est pas propre à java mais aux webservices en général.
-Tu te connecte avec ton login et mot de passe
- Le serveur dit ok tiens un token jwt
- Tu fais une requête pour demander les produit avec le token
- le serveur regarde si ton token existe en base si oui c'est que tu es bien authentifié sinon non.

Tu peux pour la sécurité réduire le temps de validité de ton token avant qu'il expire.

[Badshade23]

Oui je comprend le principe, c'est la sauvegarde en cookie ou j'ai du mal.
Je sais que tout les langages fonctionne ainsi enfin si ils utilisent les tokens.
C'est plus la partie sauvegarde de celui-ci. Cookie...

[kevin254kl]

y'a un projet tu peux t'en inspirer https://github.com/mrin9/Angular-SpringBoot-REST-JWT je pense que tu dois utiliser le localstorage avec angular pour le cookie crypté.

[Badshade23]

Merci pour ta réponse après si je créais un cookie sécurisé, il faut que je le mette en httponly, du coup si je ne dis pas de bêtise il peut être créé et lu uniquement par le backend non ?
D'ailleurs, si c'est le cas, je ne sais pas comment mon front connaîtra les rôles et autres informations de l'utilisateur une fois celui-ci connecté.
Il passe des informations dans l'head des réponses ? Je n'arrive pas à trouver des cours/exemples sur le net s'est assez compliqué .
Pour la partie Web Storage (localStorage/sessionStorage) la plupart des sites de sécurité disent que c'est une mauvaise idée à cause des attaques. (le Web Storage (localStorage/sessionStorage) est accessible via JavaScript sur le même domaine. Cela signifie que tout JavaScript en cours d'exécution sur votre site aura accès au stockage Web et, de ce fait, peut être vulnérable aux attaques de script intersite (XSS) ).
Une des sources : https://stackoverflow.com/questions/...e-with-reactjs.

[keokaz]

Salut,

j'ai mis un tuto qui explique l'échange en jwt (pour y accéder il faut cliquer sur le buton vert , connexion anonyme).
https://ohkod.fr/moodle/mod/page/view.php?id=234

si cela peut t'aider à comprendre.