The document discusses the OAuth authorization framework and JSON Web Tokens (JWT). It describes some issues with traditional login methods, such as having separate user accounts and passwords for each application. OAuth aims to solve this using authorization codes and tokens to allow users to securely grant access to third-party applications without sharing their credentials directly. JWTs are also discussed as a way to encode tokens as JSON objects for secure transmission.

1. LA SÉCURITÉ,
JE M’EN FICHE
(VOUS DEVRIEZ AUSSI)

3. LA SÉCURITÉ,
JE M’EN FICHE
(VOUS DEVRIEZ AUSSI)

4. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
QUI SUIS-JE?
@joel__lord
joellord

9. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

10. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

11. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

12. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

13. INTRODUCTION À OAUTH

14. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

15. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

16. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

17. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

18. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

19. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
INTRODUCTION À OAUTH

20. MAIS POURQUOI?

21. DÉLÉGATION!

22. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
APPLICATIONS TRADITIONNELLES
▸ Le navigateur demande la page
d’accueil

23. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
APPLICATIONS TRADITIONNELLES
▸ Le navigateur demande la page
d’accueil

24. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
APPLICATIONS TRADITIONNELLES
▸ Le navigateur demande la page
d’accueil

25. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
APPLICATIONS TRADITIONNELLES
▸ Le navigateur demande la page
d’accueil
▸ Le serveur valide l’usager dans la
base de données

26. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
APPLICATIONS TRADITIONNELLES
▸ Le navigateur demande la page
d’accueil
▸ Le serveur valide l’usager dans la
base de données
👍

27. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
APPLICATIONS TRADITIONNELLES
▸ Le navigateur demande la page
d’accueil
▸ Le serveur valide l’usager dans la
base de données
▸ Une session est créée et un Cookie
est envoyé
👍

28. "

29. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
POURTANT, ÇA FONCTIONNE, NON?
▸ Plusieurs plateformes tentent de se
connecter

30. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
POURTANT, ÇA FONCTIONNE, NON?
▸ Plusieurs plateformes tentent de se
connecter
▸ Code étroitement couplé

31. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
POURTANT, ÇA FONCTIONNE, NON?
▸ Plusieurs plateformes tentent de se
connecter
▸ Code étroitement couplé
▸ Partager un mot de passe pour se
connecter à un tier-parti (ugh!)

32. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
POURTANT, ÇA FONCTIONNE, NON?
▸ Plusieurs plateformes tentent de se
connecter
▸ Code étroitement couplé
▸ Partager un mot de passe pour se
connecter à un tier-parti (ugh!)
▸ Les utilisateurs ont déjà des
centaines de comptes, ce qui
mène à la réutilisation des mots de
passe et un bas taux de conversion

34. OAUTH GRANTS
LA SÉCURITÉ, JE M’EN FICHE
(VOUS DEVRIEZ AUSSI)

35. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

36. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

37. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

38. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE
👍

39. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE
👍

40. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

41. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

42. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

43. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

44. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

45. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE
⛔

46. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

47. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
AUTHORIZATION CODE

48. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
IMPLICIT GRANT

49. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
IMPLICIT GRANT

50. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
IMPLICIT GRANT

51. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
IMPLICIT GRANT

52. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
IMPLICIT GRANT
👍

53. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
IMPLICIT GRANT

54. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
IMPLICIT GRANT

55. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
IMPLICIT GRANT

56. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
IMPLICIT GRANT
👍

57. TOKENS 101
LA SÉCURITÉ, JE M’EN FICHE
(VOUS DEVRIEZ AUSSI)

58. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
TOKENS
▸ Access Token
▸ Autorise l’accès à une
resources
▸ Contrôle les accès à un API
▸ Courte vie
▸ Refresh Tokens
▸ Permet d’obtenir un
Access Token
▸ Longue durée de vie
▸ Peut être révoqué

59. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
TOKENS
▸ Refresh Tokens
▸ Permet d’obtenir un Access
Token
▸ Longue durée de vie
▸ Peut être révoqué

60. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
TOKENS
▸ Refresh Tokens
▸ Permet d’obtenir un Access
Token
▸ Longue durée de vie
▸ Peut être révoqué

61. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
TOKENS
▸ WS Federated
▸ SAML
▸ Sur mesure
▸ …

62. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
TOKENS
▸ WS Federated
▸ SAML
▸ Sur mesure
▸ JWT

63. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
eyJhbGciOiJIUzI1NiIsInR5cC
I6IkpXVCJ9.eyJzdWIiOiIxMj
M0NTY3ODkwIiwibmFtZSI6I
kpvZWwgTG9yZCIsImFkbWl
uIjp0cnVlLCJzY29wZSI6InBv
c3RzOnJlYWQgcG9zdHM6
d3JpdGUifQ.XesR-
pKdlscHfUwoKvHnACqfpe2
ywJ6t1BJKsq9rEcg

64. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Entête (Header)
▸ Charge (Payload)
▸ Signature
eyJhbGciOiJIUzI1NiIsInR5cC
I6IkpXVCJ9.eyJzdWIiOiIxMj
M0NTY3ODkwIiwibmFtZSI6I
kpvZWwgTG9yZCIsImFkbWl
uIjp0cnVlLCJzY29wZSI6InBv
c3RzOnJlYWQgcG9zdHM6
d3JpdGUifQ.XesR-
pKdlscHfUwoKvHnACqfpe2
ywJ6t1BJKsq9rEcg

65. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Entête (Header) eyJhbGciOiJIUzI1NiIsInR5cC
I6IkpXVCJ9.eyJzdWIiOiIxMj
M0NTY3ODkwIiwibmFtZSI6I
kpvZWwgTG9yZCIsImFkbWl
uIjp0cnVlLCJzY29wZSI6InBv
c3RzOnJlYWQgcG9zdHM6
d3JpdGUifQ.XesR-
pKdlscHfUwoKvHnACqfpe2
ywJ6t1BJKsq9rEcg

66. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Entête (Header) eyJhbGciOiJIUzI1NiIsInR5cC
I6IkpXVCJ9

67. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Entête (Header) atob(‘eyJhbGciOiJIUzI1NiIsI
nR5cCI6IkpXVCJ9’);

68. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Entête (Header) {
"alg": "HS256",
"typ": "JWT"
}

69. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Charge (Payload) eyJhbGciOiJIUzI1NiIsInR5cC
I6IkpXVCJ9.eyJzdWIiOiIxMj
M0NTY3ODkwIiwibmFtZSI6I
kpvZWwgTG9yZCIsImFkbWl
uIjp0cnVlLCJzY29wZSI6InBv
c3RzOnJlYWQgcG9zdHM6
d3JpdGUifQ.XesR-
pKdlscHfUwoKvHnACqfpe2
ywJ6t1BJKsq9rEcg

70. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Charge (Payload) eyJzdWIiOiIxMjM0NTY3OD
kwIiwibmFtZSI6IkpvZWwgT
G9yZCIsImFkbWluIjp0cnVlL
CJzY29wZSI6InBvc3RzOnJl
YWQgcG9zdHM6d3JpdGUi
fQ

71. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Charge (Payload) atob(‘eyJzdWIiOiIxMjM0NT
Y3ODkwIiwibmFtZSI6IkpvZ
WwgTG9yZCIsImFkbWluIjp
0cnVlLCJzY29wZSI6InBvc3R
zOnJlYWQgcG9zdHM6d3J
pdGUifQ’);

72. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Charge (Payload) {
"sub": "1234567890",
"name": "Joel Lord",
"admin": true,
"scope": "posts:read
posts:write"
}

73. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Signature XesR-
pKdlscHfUwoKvHnACqfpe2
ywJ6t1BJKsq9rEcg

74. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
▸ Signature hmacsha256(
`${header}.${payload}`,
SECRET_KEY
);

75. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
JSON WEB TOKENS
Image: https://jwt.io

76. UN PEU DE CODE

77. Serveur Auth API
var express = require('express');
var Webtask = require('webtask-tools');
var bodyParser = require('body-parser');
var randopeep = require("randopeep");
var jwt = require("jsonwebtoken");
var app = express();
var users = [
{id: 1, username: "joellord", password: "joellord"},
{id: 2, username: "guest", password: "guest"}
];
app.use(bodyParser.json());
app.post("/login", function(req, res) {
if (!req.body.username || !req.body.password) return
res.status(400).send("Need username and password");
var user = users.find(function(u) {
return u.username === req.body.username && u.password ===
req.body.password;
});
if (!user) return res.status(401).send("User not found");
var token = jwt.sign({
sub: user.id,
scope: "api:read",
username: user.username
}, "mysupersecret", {expiresIn: "10 minutes"});
var express = require('express');
var Webtask = require('webtask-tools');
var bodyParser = require('body-parser');
var jwt = require("jsonwebtoken");
var app = express();
var users = [
{id: 1, username: "joellord", password: "joellord"},
{id: 2, username: "guest", password: "guest"}
];
app.use(bodyParser.urlencoded());
app.get("/login", function(req, res) {
var loginForm = "<form method='post'><input type=hidden
name=callback value='" + req.query.callback + "'><input type=text
name=username /><input type=text name=password /><input
type=submit></form>";
res.status(200).send(loginForm);
});
app.post("/login", function(req, res) {
if (!req.body.username || !req.body.password) return
res.status(400).send("Need username and password");
var user = users.find(function(u) {
return u.username === req.body.username && u.password ===
req.body.password;
});
if (!user) return res.status(401).send("User not found");

78. @joel__lord
#WAQ19
Serveur Auth
var express = require('express');
var bodyParser = require('body-parser');
var jwt = require("jsonwebtoken");
var app = express();
// ...

79. @joel__lord
#WAQ19
Serveur Auth
var express = require('express');
var bodyParser = require('body-parser');
var jwt = require("jsonwebtoken");
var app = express();
// ...

80. @joel__lord
#WAQ19
Serveur Auth
var express = require('express');
var bodyParser = require('body-parser');
var jwt = require("jsonwebtoken");
var app = express();
// ...

81. @joel__lord
#WAQ19
Serveur Auth
var express = require('express');
var bodyParser = require('body-parser');
var jwt = require("jsonwebtoken");
var app = express();
// ...

82. @joel__lord
#WAQ19
Serveur Auth
// Requires ...
var users = [
{id: 1, username: "joellord", password:
"joellord"},
{id: 2, username: "guest", password: "guest"}
];

83. @joel__lord
#WAQ19
Serveur Auth
// Requires ...
var users = [...];
app.use(bodyParser.urlencoded());
app.post("/login", function(req, res) {
// POST for login
});
app.get('*', function (req, res) {
res.sendStatus(404);
});

84. @joel__lord
#WAQ19
Serveur Auth
// Requires ...
var users = [...];
app.use(bodyParser.urlencoded());
app.post("/login", function(req, res) {
// POST for login
});
app.get('*', function (req, res) {
res.sendStatus(404);
});

85. @joel__lord
#WAQ19
Serveur Auth
app.post("/login", function(req, res) {
// POST for login
if (!req.body.username || !req.body.password)
return res.status(400).send("Need username and password");
var user = users.find(function(u) {
return u.username === req.body.username && u.password === req.body.password;
});
if (!user) return res.status(401).send("User not found");
var token = jwt.sign({
sub: user.id,
scope: "api:read",
username: user.username
}, "mysupersecret", {expiresIn: "10 minutes"});
res.redirect(req.body.callback + "#access_token=" + token);
});

86. @joel__lord
#WAQ19
Serveur Auth
app.post("/login", function(req, res) {
// POST for login
if (!req.body.username || !req.body.password)
return res.status(400).send("Need username and password");
var user = users.find(function(u) {
return u.username === req.body.username && u.password === req.body.password;
});
if (!user) return res.status(401).send("User not found");
var token = jwt.sign({
sub: user.id,
scope: "api:read",
username: user.username
}, "mysupersecret", {expiresIn: "10 minutes"});
res.redirect(req.body.callback + "#access_token=" + token);
});

87. @joel__lord
#WAQ19
Serveur Auth
app.post("/login", function(req, res) {
// POST for login
if (!req.body.username || !req.body.password)
return res.status(400).send("Need username and password");
var user = users.find(function(u) {
return u.username === req.body.username && u.password === req.body.password;
});
if (!user) return res.status(401).send("User not found");
var token = jwt.sign({
sub: user.id,
scope: "api:read",
username: user.username
}, "mysupersecret", {expiresIn: "10 minutes"});
res.redirect(req.body.callback + "#access_token=" + token);
});

88. @joel__lord
#WAQ19
Serveur Auth
app.post("/login", function(req, res) {
// POST for login
if (!req.body.username || !req.body.password)
return res.status(400).send("Need username and password");
var user = users.find(function(u) {
return u.username === req.body.username && u.password === req.body.password;
});
if (!user) return res.status(401).send("User not found");
var token = jwt.sign({
sub: user.id,
scope: "api:read",
username: user.username
}, "mysupersecret", {expiresIn: "10 minutes"});
res.redirect(req.body.callback + "#access_token=" + token);
});

89. @joel__lord
#WAQ19
Serveur Auth
// Requires ...
var users = [...];
app.use(bodyParser.urlencoded());
app.post("/login", function(req, res) {
// POST for login
});
app.get('*', function (req, res) {
res.sendStatus(404);
});
app.listen(8080, () => console.log("Auth server running on
8080"));}

90. @joel__lord
#WAQ19
API
var express = require('express');
var bodyParser = require('body-parser');
var randopeep = require("randopeep");
var expressjwt = require("express-jwt");
var app = express();

91. @joel__lord
#WAQ19
API
var express = require('express');
var bodyParser = require('body-parser');
var randopeep = require("randopeep");
var expressjwt = require("express-jwt");
var app = express();

92. @joel__lord
#WAQ19
API
var express = require('express');
var bodyParser = require('body-parser');
var randopeep = require("randopeep");
var expressjwt = require("express-jwt");
var app = express();

93. @joel__lord
#WAQ19
API
var express = require('express');
var bodyParser = require('body-parser');
var randopeep = require("randopeep");
var expressjwt = require("express-jwt");
var app = express();

94. @joel__lord
#WAQ19
API
var express = require('express');
var bodyParser = require('body-parser');
var randopeep = require("randopeep");
var expressjwt = require("express-jwt");
var app = express();

95. @joel__lord
#WAQ19
API
// Requires ...
var jwtCheck = expressjwt({
secret: "mysupersecret"
});

96. @joel__lord
#WAQ19
API
// Requires and config ...
app.get("/headline", function(req, res) {
// Unprotected
res.status(200).send(randopeep.clickbait.headline());
});
app.get("/protected/headline", jwtCheck, function(req, res) {
// Protected
res.status(200).send(randopeep.clickbait.headline("Joel Lord"));
});
app.get('*', function (req, res) {
res.sendStatus(404);
});

97. @joel__lord
#WAQ19
API
// Requires and config ...
app.get("/headline", function(req, res) {
// Unprotected
res.status(200).send(randopeep.clickbait.headline());
});
app.get("/protected/headline", jwtCheck, function(req, res) {
// Protected
res.status(200).send(randopeep.clickbait.headline("Joel Lord"));
});
app.get('*', function (req, res) {
res.sendStatus(404);
});

98. @joel__lord
#WAQ19
API
// Requires and config ...
app.get("/headline", function(req, res) {
// Unprotected
res.status(200).send(randopeep.clickbait.headline());
});
app.get("/protected/headline", jwtCheck, function(req, res) {
// Protected
res.status(200).send(randopeep.clickbait.headline("Joel Lord"));
});
app.get('*', function (req, res) {
res.sendStatus(404);
});

99. @joel__lord
#WAQ19
API
// Requires and config ...
app.get("/headline", function(req, res) {
// Unprotected
res.status(200).send(randopeep.clickbait.headline());
});
app.get("/protected/headline", jwtCheck, function(req, res) {
// Protected
res.status(200).send(randopeep.clickbait.headline("Joel Lord"));
});
app.get('*', function (req, res) {
res.sendStatus(404);
});

100. @joel__lord
#WAQ19
API
// Requires and config ...
app.get("/headline", function(req, res) {
// Unprotected
});
app.get("/protected/headline", jwtCheck, function(req, res) {
// Protected
});
app.get('*', function (req, res) {
res.sendStatus(404);
});
app.listen(8888, () => console.log("API listening on 8888"));

102. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
DIEUX DES DÉMOS, FAITES QUE ÇA FONCTIONNE
▸ https://github.com/joellord/
secure-spa-auth0

103. DÉLÉGATION!

111. INTRODUCTION À OPEN ID
CONNECT

112. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT
▸ S’assois sur OAuth 2.0
▸ OpenID Connect !== OpenId
▸ Fournit l’identité de l’utilisateur avec un JWT
▸ Utilise la route /userinfo pour fournir cette info

113. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT
▸ Utilise un “scope” pour fournir l’information de l’utilisateur
▸ openid
▸ Profile
▸ email
▸ address
▸ phone

114. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT
scope=openid%20profile

115. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT
👍

116. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT
👍

117. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT

118. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT

119. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT

120. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT
/userinfo

121. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT

122. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
OPEN ID CONNECT
Image: https://openidconnect.net

123. LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
DIEUX DES DÉMOS, FAITES QUE ÇA FONCTIONNE
▸ https://github.com/joellord/
secure-spa-auth0

124. DÉLÉGATION!

125. @joel__lord
#WAQ19
LA SÉCURITÉ, JE M’EN FICHE (VOUS DEVRIEZ AUSSI)
RESSOURCES
▸ Plus sur les JWT
▸ https://jwt.io/
▸ Plus sur OIDC
▸ https://openidconnect.net/
▸ Exemples de code
▸ http://bit.ly/idontcareaboutsecurity

126. @joel__lord
joellord
LA SÉCURITÉ, JE M’EN FICHE
(VOUS DEVRIEZ AUSSI)
Web à Québec
10 avril 2019
MERCI!

127. TEXT

128. TEXT