Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Sécurité du jwt lors de la réception du token
Bonjour à tous,
Pourriez vous m'aider s'il vous plaît?
J'ai actuellement un process d'authentification
- login + mot de passe
- api retourne un jwt
- avec ce jwt j'ai accès au ressource avec un rôle
Ma question est juste decode le jwt ne suffit pas?
Par exemple j'ai des rôles pour mon utilisateur dans le jwt, à chaque appelle api avec mon token je dois vérifier que c'est bien ce rôle la en bdd ou je fais confiance au jwt qui est chiffré?
Merci
pour l'appel api, vous posez la question côté client ou côté serveur ?
Merci,Envoyé par mathieu
Côté serveur.
du moment que le token est associé à un utilisateur, je pense qu'à chaque requête vous devrez vérifier que l'utilisateur a bien les droits pour les informations qu'il demande.
Selon moi , les roles présents dans le JWT ne doivent servir que coté client, pour par exemple afficher ou non certains éléments.
Par contre coté serveur on vérifie les permissions avec ce qu'on à en base (par exemple) car l'utilisateur est identifié. En théorie il est très compliqué de falsifier le JWT et on pourrait donc se reposer sur les infos du token coté serveur mais autant utiliser les données qu'on sait sure à 100%
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager