Les jetons JWT sont récemment devenus une méthode d’authentification très populaire dans les applications Web. Bien qu’il s’agisse de l’un des moyens les plus sûrs de protéger les ressources et que les alternatives sur le marché soient insatisfaits, il convient de noter que chaque rose a des pointes et qu’elle présente également de nombreux risques potentiels. Elles résultent principalement d’erreurs commises dans la mise en œuvre. Pour vous en prémunir, vous devez vous en tenir aux principes suivants:
- Assurez-vous d’utiliser des clés de chiffrement suffisamment complexes d’au moins 2048 bits.
- Créez une procédure en cas de fuite de clé de chiffrement.
- Les clés doivent être stockées de manière suffisamment sécurisée (par exemple, elles ne doivent pas se trouver dans le code source).
- Le serveur doit exiger un mode de signature spécifique – de sorte qu’il ne soit pas possible de le modifier du côté client.
- Vérifiez que votre implémentation n’autorise pas l’algorithme de signature « none ».
- Vérifiez que votre implémentation vérifie certainement la signature (n’accepte pas la signature vide et vous faites la distinction entre les fonctions « verify() » et « decode() » ).
- Vérifiez que le mode « débogage » est désactivé et ne peut pas être appliqué du côté client.
- Ne soumettez pas de jetons JWT dans l’URL.
- Vérifiez que vous ne divulguez pas d’informations sensibles dans le jeton JWT.
- Vérifiez que vous vous protégez contre les attaques de replay.
- Vérifiez que la durée de vie du jeton est suffisamment courte et que cela est effectivement vérifié correctement.
- Réfléchissez à la question de savoir si vous n’avez pas besoin de la fonction d’annulation des jetons individuels.
