mission Game of Thrones 6

Authentification avec jeton

JSON Web Token (JWT) est un standard ouvert défini dans la RFC 7519. Disponible dans la plupart des langages pour l’échange sécurisé de jeton. On pourra obtenir les extensions nécesaire ssur le site jwt.io.

 

JWT avec SLIM

  • Ajouter JWT grâce à composer.
composer require firebase/php-jwt
  • Permettre à un utilisateur d’obtenir un jeton valable 30 minutes lors de la connexion au site. On enregistrera ce jeton en session JavaScript.

Exemple de code client

 $( "#btn-valide").click(function(event) {               
               $.ajax({ 
                type: "GET",
                url: urlServeur+"/obtentionToken",
                data: "pass="+ $("#password").val(),
                success: function(data){
                      sessionStorage.setItem('token', data);                               
                },
                error: function(XMLHttpRequest, textStatus, errorThrown) {      
                        $(".form-group-password").addClass("has-danger");
                        $("#password").addClass("form-control-danger");
                }             
                });
});

Exemple de code serveur

<?php 
require 'vendor/autoload.php';
use \Psr\Http\Message\ServerRequestInterface as Request;
use \Psr\Http\Message\ResponseInterface as Response;
use \Firebase\JWT\JWT;
$app = new \Slim\App;
error_reporting(E_ALL);
ini_set('display_errors', 1);

$app->get('/obtentionToken', function(Request $request, Response $response){	
	//vérification de l'utilisateur
	$login = $request->getQueryParam('login');
	$pass = $request->getQueryParam('pass');	
	$allowed= ckeckUser($login,$pass);
	if($allowed){
		$token=getTokenJWT();
		return $response->withJson($token,200);
	}else{
		return $response->withStatus(401);
	}
});

$app->post('/monURI', function(Request $request, Response $response){
	$token = $request->getQueryParam('token');
	if(validJWT($token)){
		//J'execute la fonction
	}else{
		//non autorisé
		return $response->withStatus(401);
	}	
});

 function getTokenJWT() {
   // Make an array for the JWT Payload
  $payload = array(
    //30 min
    "exp" => time() + (60 * 30)
  );
   // encode the payload using our secretkey and return the token
  return JWT::encode($payload, "secret");
}

  function validJWT($token) {
    $res = false;
    try {
        $decoded = JWT::decode($token, "secret", array('HS256'));       
    } catch (Exception $e) {
      return $res;
    }
    $res = true;
    return $res;  
  }
   
$app->run();

 

  • Sécuriser les routes permettant d’afficher les utilisateurs grâce à la vérification d’un jeton.
  • Sécuriser toutes les routes permettant de modifier, ajouter ou supprimer un élément.

 

 

JWT avec Express

  • Ajouter JWT.
npm install jsonwebtoken
  • Permettre à un utilisateur d’obtenir un jeton valable 30 minutes lors de la connexion au site. On enregistrera ce jeton en session JavaScript. Documentation jsonwebtoken
var jwt = require('jsonwebtoken');
var token = jwt.sign({ foo: 'bar' },'superSecret', {
          expiresIn: 1440 // expires in 24 hours
        });

        // return the information including token as JSON
        res.json({
          success: true,
          message: 'Enjoy your token!',
          token: token
        });
if (token) {
    // verifies secret and checks exp
    jwt.verify(token, app.get('superSecret'), function(err, decoded) {      
      if (err) {
        return res.json({ success: false, message: 'Failed to authenticate token.' });    
      } else {
        // if everything is good, save to request for use in other routes
        req.decoded = decoded;    
        next();
      }
    });

  } else {
    // if there is no token
     return res.status(403).send({ 
        success: false, 
        message: 'No token provided.' 
    });
  }
  • Sécuriser les routes permettant d’afficher les utilisateurs grâce à la vérification d’un jeton.
  • Sécuriser toutes les routes permettant de modifier, ajouter ou supprimer un élément.

 

 

JWT avec Flask

  • Ajouter JWT.
pip install pyjwt
  • Permettre à un utilisateur d’obtenir un jeton valable 30 minutes lors de la connexion au site. On enregistrera ce jeton en session JavaScript. Documentation pyjwt
>>import jwt 
>>key = 'secret' 
>>encoded = jwt.encode({'exp': 1371720939},{'some': 'payload'}, key, algorithm='HS256') 
'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicGF5bG9hZCJ9.4twFt5NiznN84AWoo1d7KO1T_yoc0Z6XOpOVswacPZg' 
>>decoded = jwt.decode(encoded, key, algorithms='HS256') 
{'some': 'payload'}
  • Sécuriser les routes permettant d’afficher les utilisateurs grâce à la vérification d’un jeton.
  • Sécuriser toutes les routes permettant de modifier, ajouter ou supprimer un élément.

 

Sauvegarde

  • Enregistrer les fichiers dans un répertoire got6  sous Gitlab.

 

2019-03-19T14:38:12+01:00By |Tags: , |