JWT ou OAuth : quel est le meilleur moyen d'assurer la sécurité du Web ?

JWT et OAuth peuvent tous deux vous aider à renforcer la sécurité de votre application web en offrant une authentification et une autorisation sécurisées. Mais lequel devez-vous mettre en œuvre pour permettre aux utilisateurs d’accéder à votre application web en toute sécurité ? Nous avons préparé un article détaillé sur JWT vs OAuth pour répondre à cette question.

Après l’avoir lu, vous aurez une idée claire de ce que sont JWT et OAuth, des avantages qu’ils offrent, de leurs différences et de celui que vous devriez mettre en œuvre pour renforcer la sécurité de votre application web.

Sans plus attendre, plongeons dans le vif du sujet.

Qu’est-ce qu’un JWT ?

Sign in screen flashing on laptop screen

JWT, qui signifie JSON Web Token, est une norme ouverte qui définit un moyen de partager en toute sécurité des informations entre deux parties sous la forme d’un objet JSON. Les informations étant signées numériquement, les parties peuvent faire confiance et vérifier les informations transmises au moyen de jetons Web JSON.

La taille relativement petite des JWT leur permet d’être envoyés par l’intermédiaire d’un paramètre POST, d’une URL ou d’un en-tête HTTP. Un jeton Web JSON se compose de trois parties : l’en-tête, la charge utile et la signature.

L’en-tête indique le type de jeton et le type d’algorithme de signature utilisé. La partie “Payload” d’un JWT comprend des déclarations sur les utilisateurs et des données supplémentaires.

Comme son nom l’indique, la partie Signature d’un jeton Web JSON contient la signature qui permet de vérifier que le message n’a pas été altéré en cours de route.

Comment fonctionnent les JWT

How JWT Works Diagram — Source de l’image : DEV

Voici comment fonctionne un jeton Web JSON.

Les utilisateurs se connectent à votre application web en soumettant leur nom d’utilisateur et leur mot de passe. Ensuite, votre application transfère ces informations d’identification au serveur d’authentification.

Génération de jetons

Une fois que le serveur d’authentification a vérifié les identifiants de connexion des utilisateurs, il génère des jetons Web JSON et les envoie aux utilisateurs. Ces JWT peuvent contenir des informations critiques sur les utilisateurs et les sessions d’authentification. Les utilisateurs stockent ces JWT localement. En fonction des paramètres, le serveur peut également signer les JWT à l’aide d’un secret partagé ou d’une clé privée pour renforcer la sécurité.

Vérification des jetons

Lorsque les utilisateurs demandent à votre serveur d’application d’accéder à une ressource, ils incluent leurs JWT dans leurs requêtes. Votre serveur d’application vérifiera les signatures dans les JWT et contrôlera les revendications dans les données utiles pour vérifier si les utilisateurs sont autorisés à accéder aux ressources demandées.

Si les JWT sont valides, les utilisateurs auront accès aux ressources demandées sur votre application web.

Cas d’utilisation des JWT

Vous pouvez utiliser les jetons Web JSON de la manière suivante :

#1. Autorisation

Une fois que les utilisateurs se sont connectés avec succès à votre application web via le point de terminaison de connexion, le serveur d’authentification leur fournira des JWTs. Les utilisateurs utiliseront leurs JWT pour accéder aux ressources de l’application qui nécessitent une authentification pour prouver leur identité.

Lisez aussi : Comment authentifier et autoriser les utilisateurs à l’aide d’un JWT dans NodeJS

Échange d’informations entre les parties

Le jeton Web JSON peut être la bonne option pour transmettre en toute sécurité des informations à des utilisateurs valides. Les jetons Web JSON sont signés pour garantir que les informations proviennent de la source d’origine. De plus, la structure du JWT (la partie signature) permet aux destinataires de vérifier que les informations n’ont pas été modifiées en cours de route.

Avantages des JWT

Voici les principaux avantages de la mise en œuvre des JWT dans votre application web.

Contrairement aux jetons SAML, les JWT sont légers. Vous pouvez donc les mettre en œuvre rapidement dans les environnements HTML et HTPP, ce qui les rend idéaux pour les applications clientes telles que les applications mobiles.
Les JWT offrent une sécurité solide. Vous pouvez signer symétriquement les JWT par un secret partagé à l’aide de l’algorithme HMAC ou par une clé privée pour les signer asymétriquement.
Les JWT sont dotés d’un mécanisme d’expiration intégré, qui vous permet de définir la période d’expiration des JWT afin de renforcer la sécurité.
Les jetons Web JSON sont largement adoptés par différentes solutions d’authentification unique. Il est donc facile de travailler avec les JWT.

En outre, les JWT permettent d’économiser de l’espace de stockage dans la base de données de votre entreprise. En effet, votre serveur ne crée que des JWT, qui sont sauvegardés du côté du client. En outre, les JWT ne nécessitent pas de consultation de la base de données.

Les JWT peuvent donc être vérifiés rapidement, ce qui offre une meilleure expérience à l’utilisateur.

Limites des JWT

Bien que les JWT soient un excellent moyen d’autoriser les utilisateurs, ils présentent certaines limites. Ils présentent certaines limites, telles que

Vous êtes responsable de la sécurité de la clé de cryptage. Si un pirate informatique met la main sur la clé qui signe vos JWT, vous aurez de gros problèmes. Il pourrait fabriquer de faux jetons qui altéreraient les données de vos utilisateurs. Il s’agit là d’un risque de sécurité considérable.
Les JWT ne nécessitent pas d’appel à la base de données pour chaque vérification, ce qui semble être une bonne chose. Mais si vous devez en révoquer un dès que possible, vous devrez le mettre sur liste noire. Cette tâche n’est ni rapide ni simple.
Lorsqu’un JWT expire, il ne s’agit pas simplement de prolonger le délai. Votre système demandera à l’utilisateur de se reconnecter pour obtenir un nouveau jeton. Cela complexifie l’ensemble du processus et nécessite une réflexion plus poussée sur l’expérience utilisateur et les flux de sécurité. Pour faciliter le processus, vous pouvez mettre en œuvre des jetons de rafraîchissement en combinaison avec des JWT. Lorsque le jeton d’accès expire, les clients peuvent utiliser ces jetons de rafraîchissement pour demander de nouveaux jetons d’accès sans avoir à soumettre à nouveau leurs identifiants de connexion.
La mise en œuvre des JWT dans votre application web n’est pas une tâche simple ; elle nécessite un travail d’ingénierie supplémentaire. Vous devrez mettre en place le processus de création des jetons, choisir le mécanisme de signature adapté à votre application et intégrer le tout dans votre architecture existante.

Les JWT ne sont pas une solution en une étape, mais plutôt un projet qui nécessite une planification et une exécution minutieuses.

Qu’est-ce qu’OAuth ?

OAuth, abréviation de open authorization, est un protocole d’autorisation standard ouvert. Il permet aux applications web ou aux sites web d’accéder aux ressources hébergées par des applications tierces au nom des utilisateurs sans que ces derniers ne partagent leurs identifiants de connexion aux applications tierces.

Aujourd’hui, écrit sous la forme d’OAuth 2.0 (la dernière version d’OAuth), il est largement utilisé pour authentifier les utilisateurs par l’intermédiaire d’un serveur d’authentification.

Par exemple, avec OAuth en place, les utilisateurs peuvent se connecter à votre application avec leurs comptes Facebook ou Google. Mais ils n’entreront leurs identifiants de connexion que sur les comptes Facebook ou Google.

Comment fonctionne OAuth ?

How OAuth works diagram — Source de l’image : Zoho

Par exemple, vous avez une application de gestion du temps. Pour que tout le monde puisse l’utiliser efficacement, vous devez avoir accès à leur boîte de réception. Auparavant, les utilisateurs devaient communiquer leurs identifiants de connexion à votre application pour lui permettre d’accéder à leur boîte de réception. OAuth2.0 a résolu ce problème.

Voici à quoi ressemble le flux de travail OAuth2.0 :

Votre application de gestion du temps (le client) demande à accéder à des ressources protégées ; dans ce cas, il s’agit de la boîte de réception de l’utilisateur, qui appartient à l’utilisateur (propriétaire de la ressource). Pour ce faire, votre application envoie l’utilisateur au point de terminaison autorisé.
Le propriétaire de la ressource (l’utilisateur) s’authentifie et autorise la demande d’accès à la ressource de l’application de gestion du temps. Le client (votre application) recevra une autorisation du point de contact autorisé.
Votre application demandera un jeton d’accès au serveur d’autorisation pour accéder à la boîte de réception de l’utilisateur. Elle le fera en soumettant l’autorisation et en authentifiant sa propre identité.
Si l’identité de votre application est authentifiée et que l’autorisation est valide, votre application recevra un jeton d’accès à la boîte de réception de l’utilisateur.
Si le jeton d’accès est valide, votre application peut maintenant accéder aux données de l’utilisateur (sa boîte de réception) en soumettant le jeton d’accès à l’authentification.

Votre application de gestion du temps peut désormais accéder à la boîte de réception de l’utilisateur. OAuth ayant plusieurs types de subventions, le flux d’autorisation peut légèrement différer en fonction des types de subventions.

Avantages d’OAuth

Voici les principaux avantages de l’utilisation d’OAuth.

OAuth est une norme largement acceptée. Cela signifie que tous les principaux services d’authentification comprennent et utilisent OAuth.
Les utilisateurs trouveront de nombreux plug-ins et fonctionnalités OAuth parmi lesquels choisir, grâce à son utilisation répandue et à sa compatibilité.
OAuth propose des bibliothèques client testées pour presque tous les langages de programmation et frameworks web. Vous pouvez donc utiliser votre langage préféré avec OAuth.
OAuth est hautement sécurisé et vérifié. Son utilisation étant très répandue, les experts ont déjà pris en compte tous les risques de sécurité possibles.
OAuth est idéal pour le découplage du code. Le code de votre application principale n’est pas perturbé par la gestion des tâches d’authentification. Cela facilite la gestion et la mise à jour de votre application à long terme.

Cas d’utilisation d’OAuth

Voici quelques cas d’utilisation populaires d’OAuth :

L’utilisation la plus courante d’OAuth 2.0 est de permettre aux applications tierces d’accéder aux comptes des utilisateurs. Avec OAuth 2.0, les utilisateurs peuvent autoriser des tiers à accéder à leurs données stockées dans différents services sans fournir aux tiers les identifiants de connexion à ces services.
En tant que propriétaire d’une application web, vous pouvez utiliser OAuth 2.0 pour mettre en œuvre l’authentification unique. Vous pouvez explorer ces solutions OAuth open-source pour votre projet.
Vous pouvez mettre en œuvre OAuth 2.0 dans votre passerelle API pour que celle-ci agisse en tant que serveur d’autorisation. Cela garantira que la passerelle API transmettra les demandes des clients avec des jetons d’accès valides.
OAuth 2.0 peut permettre aux appareils IoT et intelligents, tels que les réfrigérateurs ou les téléviseurs, d’interagir avec des API tierces au nom des utilisateurs. Cela s’avère utile lorsqu’un utilisateur souhaite se connecter à une application sur des gadgets dépourvus de clavier normal, comme une télévision intelligente ou une console de jeu.

Limites d’OAuth

L’éventail des flux disponibles peut être décourageant pour ceux qui découvrent OAuth. Il ne s’agit pas seulement d’en choisir un ; parfois, vous avez besoin d’une combinaison pour répondre à toutes vos exigences de sécurité. Cette complexité peut empêcher les débutants de savoir par où commencer, quoi utiliser et comment l’intégrer efficacement.

Chaque flux a un objectif unique, qu’il s’agisse d’applications mobiles, de communications entre serveurs ou d’applications web. Il est donc essentiel d’analyser soigneusement vos besoins spécifiques avant de faire un choix.

OAuth 2.0 dépend de SSL/TLS pour assurer la sécurité. Si SSL/TLS n’est pas correctement configuré, la sécurité d’OAuth 2.0 peut être menacée.

En outre, OAuth peut poser des problèmes de confidentialité, en particulier lorsqu’il s’agit de suivre l’activité de l’utilisateur. Lorsque vous utilisez un service tel que “Se connecter avec Google”, Google peut être informé de votre activité sur ce site tiers. Non seulement Google peut savoir que vous vous êtes connecté, mais il peut également savoir à quelle fréquence et à quel moment vous interagissez avec ce site.

En outre, OAuth peut s’avérer excessif pour les configurations les plus simples, comme une application ne comportant qu’une partie frontale et une partie dorsale. Dans ce cas, vous n’avez peut-être pas besoin de ses complexités.

Différence entre JWT et OAuth

Les JWT et OAuth ont pour fonction essentielle de vérifier l’identité de l’utilisateur afin d’autoriser l’accès aux ressources. Ce sont des outils essentiels dans le paysage de la sécurité, mais ils diffèrent en termes de portée, de complexité et d’application.

Caractéristiques	JWT	OAuth
Utilisation principale	Les JWT se concentrent principalement sur les API.	OAuth couvre le web, le navigateur, l’API et d’autres applications.
Jeton ou protocole	Les JWT sont un format de jeton.	OAuth est un protocole d’autorisation.
Stockage	Les JWT s’appuient uniquement sur le stockage côté client.	OAuth utilise le stockage côté client et côté serveur.
Flexibilité	La portée des JWT est plus limitée.	OAuth offre plus de flexibilité et un plus large éventail de cas d’utilisation.
Facilité d’utilisation	Les JWT sont plus simples et plus faciles à comprendre.	OAuth est plus complexe.

Alors que les JWT sont plus simples et axés sur la sécurité des API, OAuth fournit une solution complète de mécanisme d’authentification qui peut s’adapter à différents scénarios.

De plus, OAuth peut permettre aux utilisateurs de laisser une application tierce accéder à leurs données sur une autre plateforme sans révéler leurs informations de connexion.

Le choix de l’une ou l’autre solution dépend des besoins spécifiques du système ou du réseau en question.

Pouvez-vous utiliser JWT et OAuth ensemble ?

Bien que les JWT et OAuth aient des objectifs différents, vous pouvez les combiner.

Le protocole OAuth ne spécifie pas de format de jeton à utiliser impérativement. Vous pouvez donc implémenter les JWT dans OAuth.

Par exemple, le serveur d’authentification OAuth2 peut émettre un jeton d’accès contenant des JWT. Ce JWT peut inclure des informations supplémentaires dans la charge utile, ce qui permet d’améliorer les performances. En effet, les allers-retours entre le serveur d’authentification et le serveur de ressources seront réduits.

La combinaison des JWT et d’OAuth2 peut également se faire par le biais d’une approche à double jeton – OAuth2 émet deux jetons distincts dans cette méthode : un access_token et un JWT. Le JWT contient des informations d’identité supplémentaires. Cette approche fournit une couche supplémentaire de détails, ce qui vous permet de mieux contrôler l’accès et les données des utilisateurs.

Il est essentiel d’utiliser OpenID Connect si vous optez pour cette stratégie à deux jetons. OpenID Connect s’appuie sur OAuth2 et ajoute davantage de champs standardisés aux jetons.

L’utilisation de JWT au lieu d’OAuth2 peut rendre les choses plus rapides et moins complexes pour des tâches spécifiques. Mais cela peut aussi rendre le développement plus difficile.

Lorsque vous décidez d’utiliser un JWT au lieu d’OAuth2, demandez-vous si le gain de rapidité justifie le travail de développement supplémentaire.

Conclusion

Dans la bataille entre JWT et OAuth pour la sécurité web ultime, chacun a ses avantages et ses inconvénients. JWT est idéal pour l’authentification rapide et sans état, mais il présente des limites, comme l’absence de révocation intégrée. OAuth excelle dans les scénarios d’autorisation complexes, mais peut s’avérer excessif pour les projets plus simples.

Si vous avez besoin d’une autorisation solide et d’une authentification efficace, envisagez de combiner JWT et OAuth via OpenID Connect.

Votre choix doit dépendre des besoins spécifiques de votre projet, et pas seulement du battage médiatique autour de ces technologies.

En outre, vous pouvez explorer ces plateformes d’authentification des utilisateurs populaires pour choisir la meilleure solution pour votre application.

Sandeep Babu
Contributeur
- LinkedIn
Sandeep Babu est titulaire d’une maîtrise en littérature anglaise de Jamia Millia Islamia, New Delhi. Il écrit dans le domaine de la cybersécurité depuis 2019. Il couvre la cybersécurité pour Geekflare, Make Use Of (MUO) et Small Business Trends.