Bonjour,

A l'heure actuelle je développe une application avec de l'authent, j'aimerais la sécuriser un maximum tout de même. Pour l'instant ma sécurité est très basique je me contente juste de générer un JWT et basta

Mon back est en nodejs avec express, classique quoi.

Et mon front est en VueJS Electron.

Je souhaiterais savoir comment sécuriser tout cela un maximum?

http://www.passportjs.org

J'ai vu cette lib mais on me l'a déconseillé comme quoi elle n'apportait pas grand chose. Qu'en pensez vous?

Au final pour vous quel est le cahier des charges pour avoir une sécurité correcte sur une API, je parle pas de sécurisé un site du gouvernement, mais juste être dans la norme

merci

ça m'interesse aussi, j'ai des entrées depuis l'URL principale de mon site (example.com avec une entrée sur example.com/DoSomething). Et j'ai aucune protection, uniquement des tokens pour identifier des envois depuis des scripts locales des utilisateurs, ou des clefs statiques entre deux de mes applications. Mais rien d'autre.

J'imagine que ça crain un max, même si je ne renvois aucune info en cas d'erreur (uniquement un code 500 : Internal server error). J'aimerais savoir comment les pro font dans ce cas

dans ma boite ils font expirer les tokens après 12h

Le 13 août 2019 à 09:29:49 dark_drow a écrit :
dans ma boite ils font expirer les tokens après 12h

Ouais mais ça suffit pas forcément comme sécu des JWT basiques.

up

Si, globalement c'est suffisant. HTTPS + JWT c'est safe à condition de choisir un algo de signature correct

De plus en plus de dev ne recommandent pas le JWT en stateless car trop risqué au niveau du front.
Perso je cherche aussi un moyen plus sécurisé.

Pour les JWT mettre une courte période pour l'expiration et mettre en place un système de refresh token ... Mais c'est vrai que c'est pas l'idéale ... Il faudrait surement rajouter une couche de sécurité côté API.

Le 16 août 2019 à 00:42:50 Jesuisledrh a écrit :
De plus en plus de dev ne recommandent pas le JWT en stateless car trop risqué au niveau du front.
Perso je cherche aussi un moyen plus sécurisé.

JWT c'est indépendant du front hein, tu peux le stocker en cookie HTTPOnlysi tu le souhaites.
Le seul problème avéré de JWT c'est la révocation qui force à passe en stateful via une blacklist si tu veux la gérer correctement (parce que les durées de validité courtes c'est pas top).
Ca mis à part JWT c'est très bien, faut pas lui coller des défauts qu'il n'a pas

Le seul problème avéré de JWT c'est la révocation qui force à passe en stateful via une blacklist si tu veux la gérer correctement (parce que les durées de validité courtes c'est pas top)

Avec un système de refresh token stocké en base de données qui s'occupe de renouveler automatiquement les JWT ça devrait être bon.
Mais pour les SPA, il faut avoir accès au cookie côté client, c'est surtout ici que la question se pose, non ?