Les jetons cryptographiques sont largement utilisés dans l’autorisation, mais sont-ils suffisants pour tous nos usages ? Les Biscuits proposent une nouvelle recette pour supporter des modèles toujours plus flexibles.
Afin de porter les informations de session d’un client d’API, il est fréquent d’employer un jeton au porteur, par exemple un JSON Web Token (JWT), morceau de données vérifiable par cryptographie permettant au serveur de s’assurer de son origine et de son authenticité.
Biscuit est l’un de ces jetons, conçu avec une structure particulière. Tout d’abord, il est vérifiable par cryptographie à clé publique : son créateur utilise la clé privée, le serveur n’a besoin que de la clé publique pour le valider.
Biscuit combine cela avec l’atténuation hors ligne : il est possible d’obtenir à partir d’un jeton existant, un nouveau jeton, sans utiliser la clé privée, et portant des droits réduits. C’est cette fonctionnalité qui donne toute sa saveur au biscuit : l’atténuation construit des modèles d’autorisation flexibles, tout en garantissant la sécurité de base du système.
1. Pourquoi une autorisation décentralisée ?
L’introduction des jetons dans l…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première