Serveur et token

M

Marino

Padawan
Membre Confirmé
30 Novembre 2024
115
43
68
Bonjour,

Je suis en train d'installer, via Docker, l'application Note Mark (application de prise et partage de notes en Markdown), en suivant la méthode décrite sur le site Belginux.

Comme étape préliminaire, le site nous renvoie sur la page jwtsecrets permettant ce générer et récupérer un «token» pour sécuriser, à ce que j'ai compris, la création des documents qui seront éventuellement créés dans l'application.

Or sur le site jwtsecrets, avant de générer le token, on doit préciser sa longueur entre 32 bits/8 caractères et 512 bits/128 caractères. Quel est l'intérêt de ce paramètre, pourquoi n'est-il pas systématiquement à 512 bits, par exemple ?

Merci d'avance pour tout éclaircissement.
 
Bonjour

Je tente une réponse sans garantie : Compatibilité avec d'anciens systèmes peut être.
Par ailleurs, suivant le cas d'usage, un token à très faible durée de vie (pour du M2M one shot par exemple) n'a pas non plus besoin d'être très long.
 
François38 a dit:
Bonjour

Je tente une réponse sans garantie : Compatibilité avec d'anciens systèmes peut être.
Par ailleurs, suivant le cas d'usage, un token à très faible durée de vie (pour du M2M one shot par exemple) n'a pas non plus besoin d'être très long.
Cliquez pour agrandir...

Merci pour la réponse. J'avoue ne pas trop savoir de qu'elle façon le token est utilisé avec Note Mark. Je dois le mettre dans docker-compose, mais à quel moment est-ce utilisé ? De quelle façon cela me donne-t-il une sécurité ? À chaque fois que je me connecte à l'application ? Lorsque j'ouvre un document créé lors d'une session précédente ?
 
Marino a dit:
Merci pour la réponse. J'avoue ne pas trop savoir de qu'elle façon le token est utilisé avec Note Mark. Je dois le mettre dans docker-compose, mais à quel moment est-ce utilisé ? De quelle façon cela me donne-t-il une sécurité ? À chaque fois que je me connecte à l'application ? Lorsque j'ouvre un document créé lors d'une session précédente ?
Cliquez pour agrandir...
Désolé, je ne connais pas du tout Note Mark; ma réponse se situait juste dans un contexte général d'utilisation des JWT.

Je laisse la main à plus qualifié.
 
Marino a dit:
mais à quel moment est-ce utilisé ? De quelle façon cela me donne-t-il une sécurité ?
Cliquez pour agrandir...
Idem je connais pas Note Mark, mais dans un contexte plus large généralement ce genre de jeton est utilisé pour le chiffrement du stockage par exemple ou de la base de données, ....
Un jeton plus long = plus de sécurité car le déchiffrement sera alors beaucoup plus complexe. Cependant cela signifie aussi plus de ressource CPU utilisé pour le fonctionnement de l'application.

Donc quand on choisi une clé, il faut le faire en fonction des recommandations du développeur ( peut etre qu'une clé de 512 caractères n'est pas prise en charge ! ) , mais aussi de l'importance du chiffrement ( données critique ? ) VS les ressources de la machine.
 
EVO a dit:
Un jeton plus long = plus de sécurité car le déchiffrement sera alors beaucoup plus complexe. Cependant cela signifie aussi plus de ressource CPU utilisé pour le fonctionnement de l'application.
Cliquez pour agrandir...
Je suis désolé, mais je ne suis pas d'accord sur le point en gras : Un jeton ne porte pas d'information, il n'y a pas de déchiffrement.

Un jeton plus long accroit la difficulté d'une attaque par "token forgery", d'où ma réponse initiale qui disait en substance que la longueur choisie doit être mise en rapport avec la durée de vie escomptée du jeton.
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour