Discussion :

[grinder59]

Bonjour,

je suis en train de développer une API avec un ensemble de méthodes en PHP.
J'étais en train de faire comme d'habitude (appli web classique via browser) :
- Authentification
- Stockage en session de l'id utilisateur
- Affichage des données métiers

quand on m'a signifié que mes méthodes ne fonctionnaient pas. Après investigation, effectivement, les sessions ne sont pas enregistrées et malgré une authentification OK de l'utilisateur, son appel suivant tombe en KO (l'API ne trouve pas son ID).

Après recherches, il semble qu'une API doivent être Stateless, sans session / contexte donc. Sauf que moi j'ai besoin d'identifier quel utilisateur s'est connecté pour lui renvoyer ses données.

La lecture d'articles me pousse vers JWT qui permet de faire transmettre, entre autre, un information permettant d'identifier l'utilisateur connecté (le JWT est propagé pendant toute l'utilisation de l'API). Ce qui signifie qu'à chaque requête, je dois :
- décryper le JWT pour retrouver l'ID utilisateur
- "recalculer" ses droits en fonction de son profil (mon API gère plusieurs profils)
avant de faire un requête qui récupère ses données.

Est-ce la bonne démarche ?

Fondamentalement, trimbaler l'ID dans chaque appel via JWT ne me pose pas de souci, mais le recalcul des droits à chaque appel pourrait être lourd.

Merci de vos conseils !

[grunk]

Est-ce la bonne démarche ?

Oui.

Pour les droits, si tu ne veux pas les recalculer , tu peux les inclure dans le token. Avec jwt tu as une partie "libre" ou tu stock ce que tu veux.
Il faut juste éviter d'y mettre des données sensible comme des mot de passe.
Si l'utilisateur venait à modifier ces données , le token serait alors invalide. Donc pas de risque d'attaque par élévation de privilèges

Note toute fois que si tu fais ca , tu ne pourras pas changer des droits à la volée, il faudra forcément que l'utilisateur se "déconnecte" et regénère un token.

En général ce qui se fait c'est :
- requete type : api/login va générer un token si identifiants ok
- On inclus ensuite le token dans une entête http custom. Ca permet coté client de la définir une bonne fois pour toute et de pas avoir à remettre le token en paramètre de chaque requête.

Attention à ne pas donner une durée de vie trop longue au token (car c'est plus facile) , sinon ca créer des fenêtre de tir importante pour les petits malin. En général un token de 15min c'est pas mal.

[grinder59]

Merci grunk !
La nuit portant conseil, j'ai prévu de stocker les droits dans un fichier json côté serveur après l'authentification car le token a une taille limitée et je ne maîtrise pas la taille de la string représentant les droits. De plus cela permet de laisser ces droits côté serveur.
A la connexion je détruit le précédent fichier (identifié par le login de l'utilisateur + _date) et je génère un nouveau fichier de droits permettant de les recharger et à chaque appel j'utilise le fichier comme je le ferrai avec $_SESSION.