Bonjour,
J'ai une application mobile qui appelle des scripts PHP/MYSQL retournant pour certains des données plutôt sensible type (adresse email du membre). J'ai commencé à utiliser la librairie PHP-JWT et je génère donc un token lors de la connexion à l'espace membre. Quel est mon problème allez vous me dire ?
Il est simple je ne comprends pas comment sécuriser l'accès à ses scripts avec JWT c'est sur le principe que je bloque. On parle de créer un token valable seulement 60 secondes (c'est court très court même) et si le token est expiré lors de la requete suivante on ne va quand même pas déconnecté le membre et le renvoyer sur la page de login donc j'ai entendu parler de renouvellement de token. Du coup je ne comprends pas bien comment et quand faire ces renouvellements de token.
1 - Je me loggue. Si OK je crée un token sur le serveur et je le renvoie à l'application mobile qui va le garder car elle devra le retransmettre à chaque requête PHP
2 - Je tente d'afficher une page de l'application utilisant un appel à un script PHP/MYSQL la requete est faite et je transmets alors le token à l'application
3 - Le serveur vérifie le token
et c'est pour après que je bloque. Est-ce qu'on renouvelle tout le temps le token côté serveur ? J'ai vu que certains parlaient de faire un second token plus long d'une durée genre 1 heure
Merci de votre aide et de vos explications sur ce sujet épineux mais au combien important dans le développement d'une application mobile et d'une API en PHP
Partager