← Retour à la Base de connaissances← Question précédenteQuestion suivante →
Architecture systèmeArchitecte Backend

Comment mettre en œuvre une couche d'autorisation et d'authentification dans une architecture IT distribuée ?

Réussissez les entretiens avec l'assistant IA Hintsage

Réponse.

Pour mettre en œuvre une couche d'autorisation et d'authentification dans une architecture distribuée, on utilise généralement des systèmes de gestion d'identité centralisés, tels que OAuth 2.0, OpenID Connect ou des Identity Providers (IdP) d'entreprise. L'authentification (établissement de l'identité) se fait via un fournisseur externe, après quoi le résultat (généralement un jeton) est utilisé pour l'autorisation (octroi de permissions) dans tous les services.

Généralement, le schéma fonctionne comme suit :

  1. L'utilisateur s'authentifie via l'IdP.
  2. Il reçoit un access-token (par exemple, JWT).
  3. Lorsqu'il accède à chaque service, l'utilisateur présente le jeton dans l'en-tête de la requête.
  4. Le service valide le jeton et extrait les droits d'accès des claims.

Exemple de code de vérification du jeton JWT en Python via la bibliothèque PyJWT :

import jwt
from jwt.exceptions import InvalidTokenError

def verify_jwt(token, public_key):
    try:
        payload = jwt.decode(token, public_key, algorithms=["RS256"])
        return payload
    except InvalidTokenError:
        return None

# exemple d'utilisation
user_info = verify_jwt(received_token, public_key)
if user_info:
    # accès autorisé
    pass
else:
    # accès refusé
    pass

Caractéristiques clés :

  • Le contrôle d'accès centralisé est codé par une unique source de vérité (IdP, par exemple, Keycloak ou Auth0)
  • La sécurité est atteinte grâce à la tokenisation et à la validation des signatures (par exemple, JWT)
  • Supporte SSO et l'authentification multifactorielle

Questions pièges.

Question : Est-il nécessaire de conserver toutes les informations sur les droits de l'utilisateur directement dans le jeton JWT ?

Ce n'est pas nécessaire. Pour minimiser la taille du jeton, on ne place généralement que l'identifiant de l'utilisateur et un ensemble minimal de droits/rôles. Des autorisations détaillées peuvent être obtenues à la demande sur le serveur via des requêtes supplémentaires ou des claims de profil chargés.

Question : Les jetons de rafraîchissement sont-ils un élément incontournable de toutes les architectures distribuées ?

Non, les jetons de rafraîchissement sont nécessaires uniquement si une session longue sans ré-authentification est requise. Dans les API sans état, seuls des jetons d'accès de courte durée sont souvent utilisés, et la logique de rafraîchissement est mise en œuvre uniquement pour les clients web ou mobiles.

Question : La section payload dans un JWT peut-elle être chiffrée ?

Selon la norme JWT (RFC 7519), le payload est uniquement signé, mais pas chiffré. Pour le chiffrement, une autre norme est utilisée : JWE (JSON Web Encryption). Sinon, quiconque a le jeton peut lire le payload (par exemple, via jwt.io) :

import jwt
jwt.decode(token, options={"verify_signature": False})
```,