JSON Web Token

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

JSON Web Token (JWT)
Date de première version Mai 2015
Auteur M. Jones, J. Bradley and N. Sakimura
Développeur IETF
Normes RFC 7519
Site web jwt.io

JSON Web Token (JWT) est un standard ouvert défini dans la RFC 7519[1]. Il permet l'échange sécurisé de jetons (tokens) entre plusieurs parties. Cette sécurité de l’échange se traduit par la vérification de l’intégrité des données à l’aide d’une signature numérique. Elle s’effectue par l'algorithme HMAC ou RSA.

Structure[modifier | modifier le code]

Un jeton se compose de trois parties :

  • Un en-tête (header), utilisé pour décrire le jeton. Il s'agit d'un objet JSON.
  • Une charge utile (payload) qui représente les informations embarquées dans le jeton. Il s'agit également d'un objet JSON.
  • Une signature numérique.

Exemple[modifier | modifier le code]

En-tête

{"typ": "jwt", "alg": "HS512"}

Charge utile

{"name":"Wikipedia","iat":1525777938}

Dans l'exemple ci-dessus, on voit dans l’en-tête que le jeton est un JSON Web Token (JWT) et que l'algorithme utilisé pour la signature est HMAC-SHA512.

Obtention de la signature[modifier | modifier le code]

Pour obtenir la signature, il faut tout d'abord encoder séparément l'en-tête et la charge utile avec Base64url défini dans la RFC 4648[2]. Ensuite, on les concatène ensemble en les séparant avec un point. On obtient la signature de ce résultat avec l'algorithme choisi. Cette signature est ajoutée au résultat de la même manière (encodée et séparée par un point).

À noter que pour l'encodage en Base64url, le caractère de remplissage '=' n'est pas obligatoire[3] et ne sera pas utilisé dans la création du JSON Web Token pour faciliter la transmission dans une URL.

Procédure étape par étape[modifier | modifier le code]

À partir de l'exemple ci-dessus, voici les différentes étapes pour obtenir un JSON Web Token.

Encodage de l'en-tête

eyJ0eXAiOiAiand0IiwgImFsZyI6ICJIUzUxMiJ9

Encodage de la charge utile

eyJuYW1lIjoiV2lraXBlZGlhIiwiaWF0IjoxNTI1Nzc3OTM4fQ

Concaténation des deux éléments, séparation par un point

eyJ0eXAiOiAiand0IiwgImFsZyI6ICJIUzUxMiJ9.eyJuYW1lIjoiV2lraXBlZGlhIiwiaWF0IjoxNTI1Nzc3OTM4fQ

Obtention de la signature avec l'algorithme HMAC-SHA512[4].

HMACSHA512(concatenation, 'ma super clé secrète')

Encodage de la signature (toujours avec Base64url)

iu0aMCsaepPy6ULphSX5PT32oPvKkM5dPl131knIDq9Cr8OUzzACsuBnpSJ_rE9XkGjmQVawcvyCHLiM4Kr6NA

Concaténation des deux éléments, séparation par un point

eyJ0eXAiOiAiand0IiwgImFsZyI6ICJIUzUxMiJ9.eyJuYW1lIjoiV2lraXBlZGlhIiwiaWF0IjoxNTI1Nzc3OTM4fQ.iu0aMCsaepPy6ULphSX5PT32oPvKkM5dPl131knIDq9Cr8OUzzACsuBnpSJ_rE9XkGjmQVawcvyCHLiM4Kr6NA

Champs standards (claims)[modifier | modifier le code]

La spécification de JWT propose différents champs (ou paramètres) standards, appelés Claims[5] :

  • iss : créateur (issuer) du jeton
  • sub : sujet (subject) du jeton
  • aud : audience du jeton
  • exp : date d'expiration du jeton
  • nbf : date avant laquelle le jeton ne dois pas être considéré comme valide (not before)
  • iat : date à laquelle a été créé le jeton (issued at)
  • jti : identifiant unique du jeton (JWT ID)

Tous ces paramètres sont optionnels. Ils permettent simplement de définir plus précisément un jeton et de renforcer sa sécurité (e.g. en limitant la durée de vie d'un jeton).

Implémentation[modifier | modifier le code]

L'implémentation de JWT peut se faire à travers une pléthore de librairies disponibles dans de nombreux langages de programmation.

Voici une liste non exhaustive de langages de programmation pour lesquels il existe une librairie JWT : .NET, 1C, Ada, C, C++, Clojure, Crystal, D, Delphi, Elixir, Erlang, Go, Groovy, Haskell, Haxe, Java, JavaScript, kdb+/Q, Kotlin, Lua, Node.js, Objective-C, Perl, PHP, PostgreSQL, Python, Ruby, Rust, Scala, Swift.

Il est également possible d'implémenter soi-même la spécification RFC 7519 décrivant JWT.

Vulnérabilités[modifier | modifier le code]

Les JWT sont un moyen d'authentification sécurisé. Il existe néanmoins certaines vulnérabilités, qui sont évitables en les considérant avec précaution. En voici une liste non exhaustive :

  • Un JWT peut être soit encodé soit encrypté[4]. Un JWT uniquement encodé, comme c'est le cas de la majorité des JWT en circulation[4], devra donc transiter par un protocole de communication sécurisé (i.e. HTTPS) pour qu'il soit inutilisable par un éventuel espion ou utilisateur mal intentionné qui serait parvenu à l'intercepter[6].
  • La clé secrète doit être conservée de façon extrêmement sécurisée. Tout utilisateur (ou système) en possession de la clé secrète d'un serveur serait en mesure de générer des JWT reconnus comme valides par ce serveur[4],[6].

Notes et références[modifier | modifier le code]

  1. (en) Bradley, John et Sakimura, Nat, « JSON Web Token (JWT) », sur tools.ietf.org (consulté le 8 mai 2018)
  2. (en) Simon Josefsson <simon@josefsson.org>, « The Base16, Base32, and Base64 Data Encodings », sur tools.ietf.org (consulté le 8 mai 2018)
  3. (en) Simon Josefsson <simon@josefsson.org>, « The Base16, Base32, and Base64 Data Encodings », sur tools.ietf.org (consulté le 8 mai 2018)
  4. a b c et d (en-US) auth0.com, « JWT.IO - JSON Web Tokens Introduction », sur jwt.io (consulté le 8 mai 2018)
  5. (en) John Bradley et Nat Sakimura, « JSON Web Token (JWT) », sur tools.ietf.org (consulté le 22 juin 2020)
  6. a et b « JSON Web Token (JWT) : Le guide complet », sur primfx.com, (consulté le 22 juin 2020)