Délégation d'autorisation avec les jetons Biscuit

Magazine
Marque
MISC
Numéro
134
Mois de parution
juillet 2024
Spécialité(s)


Résumé

Les jetons cryptographiques sont largement utilisés dans l’autorisation, mais sont-ils suffisants pour tous nos usages ? Les Biscuits proposent une nouvelle recette pour supporter des modèles toujours plus flexibles.


Afin de porter les informations de session d’un client d’API, il est fréquent d’employer un jeton au porteur, par exemple un JSON Web Token (JWT), morceau de données vérifiable par cryptographie permettant au serveur de s’assurer de son origine et de son authenticité.

Biscuit est l’un de ces jetons, conçu avec une structure particulière. Tout d’abord, il est vérifiable par cryptographie à clé publique : son créateur utilise la clé privée, le serveur n’a besoin que de la clé publique pour le valider.

Biscuit combine cela avec l’atténuation hors ligne : il est possible d’obtenir à partir d’un jeton existant, un nouveau jeton, sans utiliser la clé privée, et portant des droits réduits. C’est cette fonctionnalité qui donne toute sa saveur au biscuit : l’atténuation construit des modèles d’autorisation flexibles, tout en garantissant la sécurité de base du système.

1. Pourquoi une autorisation décentralisée ?

L’introduction des jetons dans l…

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous