Découvrez les bases d’OAuth, SAML et JWT, et apprenez à gérer les jetons et les revendications sur tous les appareils et plates-formes.

One thing I would add is that claims are typically embedded within tokens. A claim is essentially a key-value pair that represents a piece of information about the user or client application. Some claims have standardized names and meaning as specified in OAuth, OpenID Connect or JWT. However, developers can define custom claims to convey application specific information. In specific situations, claims can be maintained separately. For instance, in a web application that utilizes server-side sessions, claims are stored on the server as part of a session object. The client possesses only a session identifier, which enables access to the server-side session data.

Tout
OAuth

Comment gérez-vous les jetons et les revendications OAuth, SAML et JWT sur différents appareils et plates-formes ?

Généré par l’IA et la communauté LinkedIn

Si vous travaillez avec des applications Web ou mobiles qui doivent authentifier les utilisateurs et accéder aux ressources protégées, vous avez probablement rencontré OAuth, SAML et JWT. Ce sont quelques-unes des normes et des formats les plus courants pour la gestion des jetons et des réclamations sur différents appareils et plates-formes. Mais quels sont-ils, en quoi diffèrent-ils et comment les gérez-vous de manière sûre et efficace? Dans cet article, nous allons vous expliquer les bases de chacun et vous donner quelques conseils et bonnes pratiques pour les utiliser dans vos projets.

Des experts chevronnés contribuent à cet article

Sélectionnés par la communauté pour 6 contributions. En savoir plus

1 Que sont les jetons et les revendications?

Les jetons et les revendications sont deux concepts clés de l’authentification et de l’autorisation. Un jeton est une donnée qui prouve l’identité d’un utilisateur ou d’une application cliente. Une revendication est un élément d’information qui décrit l’utilisateur ou le client, tel que son nom, son rôle ou ses autorisations. Les jetons et les revendications sont souvent codés et signés à l’aide de méthodes cryptographiques pour empêcher la falsification et la falsification.

Ajoutez votre point de vue

Priyanka Singh

Senior Software Engineer at Google
Signaler la contribution
One thing I would add is that claims are typically embedded within tokens. A claim is essentially a key-value pair that represents a piece of information about the user or client application. Some claims have standardized names and meaning as specified in OAuth, OpenID Connect or JWT. However, developers can define custom claims to convey application specific information. In specific situations, claims can be maintained separately. For instance, in a web application that utilizes server-side sessions, claims are stored on the server as part of a session object. The client possesses only a session identifier, which enables access to the server-side session data.

Texte traduit

J’aime

2 Qu’est-ce que OAuth ?

OAuth est une norme ouverte d’autorisation qui permet à un utilisateur d’accorder à une application tierce l’accès à ses ressources sur un autre service, sans partager ses informations d’identification. Par exemple, vous pouvez utiliser OAuth pour permettre à une application de réseau social de publier en votre nom sur une autre plate-forme, ou pour permettre à une application de fitness d’accéder à vos données de santé à partir d’un appareil portable. OAuth utilise différents flux et types d’octroi pour échanger des jetons entre l’utilisateur, l’application tierce et le serveur de ressources. Le format de jeton le plus couramment utilisé par OAuth est JSON Web Token (JWT).

Ajoutez votre point de vue

Jesse Wang

Building intelligent systems, intelligentily
Signaler la contribution
Please note OAuth is only for authorization, but not authentication. To authenticate, users should use an additional protocol or standard designed specifically for authentication, such as OpenID Connect, which is built on top of OAuth 2.0.

Texte traduit

J’aime

3 Qu’est-ce que SAML ?

SAML est une norme XML pour l’authentification unique (SSO) Cela permet à un utilisateur de se connecter à plusieurs applications avec un seul ensemble d’informations d’identification. Par exemple, vous pouvez utiliser SAML pour vous connecter à votre messagerie, à votre calendrier et à votre stockage cloud avec le même nom d’utilisateur et le même mot de passe. SAML utilise des assertions pour échanger des jetons et des revendications entre l’utilisateur, le fournisseur d’identité (L’IdP)et le fournisseur de services (SP). Le format de jeton le plus couramment utilisé par SAML est le jeton SAML.

Ajoutez votre point de vue

4 Qu’est-ce que JWT?

JWT est un format compact et autonome permettant de représenter des jetons et des revendications sous forme d’objets JSON. JWT peut être utilisé à diverses fins, telles que l’authentification, l’autorisation, l’échange d’informations ou la gestion de session. JWT se compose de trois parties : un en-tête, une charge utile et une signature. L’en-tête contient des métadonnées sur le jeton, telles que l’algorithme et le type. La charge utile contient les revendications, telles que l’émetteur, l’objet et l’heure d’expiration. La signature vérifie l’intégrité du jeton, à l’aide d’une clé secrète ou d’une clé publique.

Ajoutez votre point de vue

Jesse Wang

Building intelligent systems, intelligentily
Signaler la contribution
JWT is lightweight and easy to use. At work, we use JWT in many different services and applications which all pretty much share the same code. You need a secret to generate the tokens and we developed simple tools to help generate tokens for testing purpose. The JWTs can also have an expiration date in case you want to share something just temporarily. On the other hand, if a service is dependent on another using JWT, it's better to dynamically generate a JWT once a while.

Texte traduit

J’aime

5 Comment gérez-vous les jetons et les réclamations sur tous les appareils et plates-formes ?

La gestion des jetons et des réclamations sur différents appareils et plates-formes peut être une tâche difficile, en particulier lorsque vous devez prendre en charge plusieurs normes et formats. Pour assurer la sécurité, il est important d’utiliser HTTPS pour toutes les communications impliquant des jetons et des revendications, ainsi que de les stocker en toute sécurité à l’aide du cryptage, du hachage ou d’autres méthodes. En outre, validez les jetons et les revendications avant de les utiliser en vérifiant leur signature, leur expiration, leur audience, leur portée et d’autres attributs. Actualisez périodiquement les jetons et les revendications avec des jetons d’actualisation ou une authentification silencieuse, et révoquez-les lorsqu’ils ne sont plus nécessaires via des points de terminaison de déconnexion ou des points de terminaison de révocation.

Ajoutez votre point de vue

6 Quels sont les avantages et les inconvénients de chaque norme et format ?

Chaque norme et format a son propre ensemble d’avantages et d’inconvénients, en fonction du cas d’utilisation, des exigences et des préférences. OAuth est flexible et largement adopté, bien qu’il puisse être complexe et peu sûr s’il n’est pas mis en œuvre correctement. SAML est robuste, fiable et interopérable, mais peut être détaillé, lent et lourd à configurer. JWT est simple, léger et autonome, mais peut être vulnérable aux attaques de relecture, aux fuites ou aux erreurs de configuration.

Ajoutez votre point de vue

Simon Crowe
Signaler la contribution
I would add that OAuth and JWT are not mutually exclusive, so one can enjoy the benefits of both. JWT tokens are commonly used as identity tokens by OpenID Connect which is an identity layer built on top of OAuth2. They can also be used as access tokens which makes it easier for many services to independently verify the identities associated with tokens using a public key, rather than having to check the tokens with a centralised authorisation server.

Texte traduit

J’aime
Biju Cherian

Cross Industry | Business Process Expert | Supply Chain |Procurement|ERP|Cloud|Integration|Employee Travel & Expense|Global Experience|xSiemens|xIBM
Signaler la contribution
Some widely used cloud applications do not support JWT as of 2023 due to the vulnerabilities mentioned in the benefits and drawbacks

Texte traduit

J’aime

7 Voici ce qu’il faut prendre en compte

Il s’agit d’un espace pour partager des exemples, des histoires ou des idées qui ne correspondent à aucune des sections précédentes. Que voudriez-vous ajouter d’autre?

Ajoutez votre point de vue

Ansel Kirchubel

Principal Elite Support Engineer at Ping Identity
Signaler la contribution
Hybrid flows of saml to oauth token exchange via ws federation is something people are doing, so perhaps explaining the portability / consumability of these token types is what makes them so useful. Also a further breakdown of what a jwt consists of might be useful

Texte traduit

J’aime

OAuth

+ Suivre

Notez cet article

Nous avons créé cet article à l’aide de l’intelligence artificielle. Qu’en pensez-vous ?

Il est très bien Ça pourrait être mieux

Signaler cet article

Tout voir

Comment gérez-vous les jetons et les revendications OAuth, SAML et JWT sur différents appareils et plates-formes ?

1

2

3

4

5

6

7

1 Que sont les jetons et les revendications?

2 Qu’est-ce que OAuth ?

3 Qu’est-ce que SAML ?

4 Qu’est-ce que JWT?

5 Comment gérez-vous les jetons et les réclamations sur tous les appareils et plates-formes ?

6 Quels sont les avantages et les inconvénients de chaque norme et format ?

7 Voici ce qu’il faut prendre en compte

OAuth

Notez cet article

Nous vous remercions de votre feedback

Plus d’articles sur OAuth

Lecture plus pertinente