[Signets] Des ressources sur les tokens JWT
- L'histoire du premier (petit) DDOS subi par Zeste de Savoir
- Java et le type double: quand ça ne passe pas à l'échelle !
Salut les agrumes,
Quelques liens que j’ai retrouvés sur les tokens JWT :
- leur utilisation (quand les utiliser et ne pas les utiliser)
- et les bonnes pratiques, notamment en terme de sécurité (parce que si c’est mal fait, n’importe qui pourra forger un token valide, ce qui n’est pas trop le but recherché).
Ça vient d’une étude que j’avais faite lors de leur mise en place pour une équipe qui n’y connaissait rien, et je me dis que ça pourrait intéresser des gens ici, parce que c’est un sujet plutôt complexe et souvent mal compris.
- La RFC https://tools.ietf.org/html/rfc7519
- Le site officiel https://jwt.io/ avec plein de resources (dont les failles de sécurité des protocoles associés), les libs dans plein de langages et des outils de debug
- Le ebook avec plein de resources https://auth0.com/resources/ebooks/jwt-handbook (il me semble qu’il suffit de donner un mail pour l’avoir)
- Sur les notions de signature et d’algorithme à (ne pas) utiliser : https://curity.io/resources/learn/jwt-best-practices/ ou https://www.vaadata.com/blog/fr/jetons-jwt-et-securite-principes-et-cas-dutilisation/ ou cette présentation https://owasp.org/www-chapter-vancouver/assets/presentations/2020–01_Attacking_and_Securing_JWT.pdf
Icône : le logo JWT, aucune licence claire associée mais il est explicitement proposé au téléchargement sans conditions, donc j’imagine qu’on a le droit de l’utiliser à l’identique pour illustrer un contenu sur les tokens JWT comme ici ?
