Blog

RBAC vs ReBAC : deux modèles d'autorisation, deux philosophies

Le RBAC et le ReBAC répondent à la même question d'autorisation de deux façons différentes. Découvrez comment chaque modèle fonctionne, où chacun échoue, et comment choisir entre les deux — ou les combiner.

Vos utilisateurs sont déconnectés au hasard ? Votre rotation de refresh token se bat peut-être contre elle-même

La rotation des refresh tokens peut déconnecter vos utilisateurs sans raison apparente. Découvrez pourquoi la détection de réutilisation se déclenche sur votre propre trafic légitime, et comment y remédier pour les SPA, les applications mobiles et les applications côté serveur.

Valider les JWT provenant de plusieurs issuers

Valider des JWT provenant de plusieurs issuers introduit des modes d'échec qui n'existent pas avec un seul issuer. Découvrez le bon pattern et les attaques qui résultent d'une mauvaise implémentation.

Comment générer une clé secrète JWT pour les algorithmes HMAC

Apprenez à générer une clé secrète JWT sécurisée pour les algorithmes HMAC (HS256, HS384, HS512) avec OpenSSL, Python, Node.js ou un générateur en ligne.

Azure AD B2C est mis à la retraite : que faire ensuite ?

Azure AD B2C ne disparaîtra pas du jour au lendemain, mais c'est effectivement une plateforme en fin de vie. Cet article explique ce qui change réellement, d'ici quand, et surtout quelles sont vos options.

Comment utiliser SAML pour les applications Single Page (SPA) et les applications mobiles ?

L'utilisation de SAML pour les applications Single Page (SPA) peut être délicate. Dans cet article, nous explorons comment implémenter SAML pour les SPA et fournissons les meilleures pratiques pour sécuriser votre application.

Algorithmes de signature JWT : lequel choisir ?

Choisir le bon algorithme de signature JWT est essentiel pour garantir la sécurité de votre application. Dans cet article, nous abordons les différents algorithmes disponibles et comment choisir le bon.

Scopes Standards OpenID Connect et OAuth2

OpenID Connect et OAuth2 définissent un ensemble de scopes standards qui peuvent être utilisés pour contrôler le niveau d'accès d'une application cliente aux ressources d'un utilisateur. Dans cet article de blog, nous explorerons les scopes standards définis par OpenID Connect et OAuth2 et comprendrons leur importance dans le processus d'autorisation.

Qu'est-ce que PKCE et pourquoi l'utiliser ?

PKCE est une extension d'OAuth 2.0 qui apporte une sécurité supplémentaire pour les clients publics. Découvrez ce qu'est PKCE et pourquoi vous devriez l'utiliser.

JWT ou Opaque Token : Quel est le meilleur choix pour le M2M ?

Les JWT ou les Opaque Tokens peuvent tous deux servir de mécanismes d’authentification pour les communications Machine to Machine (M2M). Mais quel est le meilleur choix entre chaque solution ?

Comment vérifier un JWT ?

Valider l'authenticité des JWT (JSON Web Tokens) est essentiel. Dans cet article, nous explorons l'approche systématique que les développeurs devraient adopter pour les vérifier.

Générer des paires de clés RSA avec OpenSSL pour signer des JWT

Ce guide vous accompagne étape par étape pour générer une paire de clés RSA avec OpenSSL pour signer des JWT.

Claims Standards OpenID Connect

Les jetons contiennent des informations sur le contexte d'authentification et d'autorisation et sont utilisés pour effectuer des requêtes sécurisées et autorisées. Dans cet article de blog, nous explorerons les différents types de claims présents dans les jetons OIDC et comprendrons leur importance dans le processus d'authentification.

Comprendre les Claims des Jetons d'Accès OAuth 2

Dans cet article de blog informatif, nous plongeons dans l'univers des claims de jetons d'accès OAuth 2. Cet article propose une exploration des claims présents dans les jetons.

Comment gérer les jetons invalides dans les applications web et mobiles ?

Bien que les JWT soient essentiels pour une communication sécurisée entre clients et serveurs, la gestion de leur cycle de vie et la garantie de leur sécurité peuvent s'avérer complexes. Dans cet article, nous explorerons les meilleures pratiques pour gérer et invalider les jetons d'accès, notamment via la révocation et la rotation, et comment les implémenter avec OAuth2 et OpenID Connect.

Comment invalider un Access Token JWT ?

Bien que les JWT soient essentiels pour une communication sécurisée entre les clients et les serveurs, la gestion de leur cycle de vie et la garantie de leur sécurité peuvent être complexes. Dans cet article, nous explorerons les meilleures pratiques pour invalider les jetons d'accès, y compris la révocation et la rotation des jetons, et comment implémenter ces mécanismes dans OAuth2 et OpenID Connect.

Comprendre les types d'autorisation (Grant Types) OpenID Connect et OAuth2

Cet article propose un guide complet pour comprendre les différents types d'autorisation (grant types) utilisés dans les protocoles OpenID Connect et OAuth2.

Prompts OpenID Connect : Liste complète avec exemples

Découvrez les différents prompts OpenID Connect et comment ils peuvent améliorer votre flux d'authentification.