Passer au contenu principal
le chiffrement Web JSON (JWE) est une norme IETF pour représenter du contenu chiffré en utilisant JSON. Dans Auth0, vous pouvez configurer des API pour chiffrer les détails au sein d’un jeton d’accès en utilisant le format JWE. Lorsque JWE est utilisé, Auth0 génère un jeton d’accès contenant un ensemble de demandes qui sont signées avec la JSON Web Signature (JWS). Ce jeton d’accès JWT est ensuite chiffré à l’aide de JWE et sérialisé avec le format JWE Compact. Cela favorise des solutions qui garantissent la confidentialité des données au sein des demandes des jetons d’accès, tout en protégeant l’intégrité au moyen d’une signature.

Générer et valider un jeton d’accès

Configurez JWE pour chaque API. En supposant que vous avez configuré apiIdentifier pour qu’il utilise JWE, l’exemple de code demande un jeton d’accès chiffré via l’autorisation des identifiants du client pour une application de communication entre machines (machine-to-machine/M2M). JWE est disponible pour tous les types d’autorisation pris en charge par Auth0. 
curl -X POST --location "https://{domain}/oauth/token" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d "client_id={clientId}&client_secret={clientSecret}&audience={apiIdentifier}&grant_type=client_credentials"
Une réponse positive contient un jeton d’accès chiffré : 
{
  "access_token": "eyJ…XAw",
  "expires_in": 86400,
  "token_type": "Bearer"
}
Lorsque le jeton d’accès est utilisé, le serveur de ressources doit déchiffrer et valider le jeton JWE. L’en-tête du jeton JWE contient des métadonnées qui décrivent l’algorithme de chiffrement (alg), l’algorithme de chiffrement de contenu (enc), et, s’il est fourni lors de la configuration de l’API, l’ID de la clé (kid) utilisés pour chiffrer la charge utile. 
{
  …
  "alg": "A256GCM",
  "enc": "RSA-OAEP-256",
  "kid": "my-kid"
}
Avec ces informations, le serveur de ressources doit être capable de déchiffrer le jeton JWE. Le résultat prend la forme d’un JWT signé, qui peut être vérifié à l’aide des clés de locataire Auth0. Pour découvrir comment configurer JWE pour votre API, consultez Configurer le chiffrement Web JSON (JWE).

En savoir plus

I