Quelle est la différence entre JWT et OAuth2 ?

JWT est un format de token (standard ouvert) qui contient des claims encodés. OAuth2 est un protocole d'autorisation qui définit comment obtenir et utiliser des tokens. OAuth2 peut utiliser des JWT comme tokens d'accès. JWT est le contenant, OAuth2 est le protocole d'échange. Pour une API simple, JWT seul suffit. Pour des scénarios complexes (SSO, délégation), OAuth2 s'impose.

Comment stocker les JWT côté client en toute sécurité ?

Évitez le localStorage, vulnérable aux attaques XSS. Préférez les cookies HttpOnly et Secure, qui ne sont pas accessibles via JavaScript. Ajoutez l'attribut SameSite pour vous protéger du CSRF. Pour les applications mobiles, utilisez le trousseau sécurisé du système (Keychain iOS, Keystore Android).

Quelle durée de vie pour un JWT ?

Les tokens d'accès doivent être courts : 15 minutes à 1 heure maximum. Cette durée limite l'impact d'un token volé. Utilisez des refresh tokens de longue durée (7 à 30 jours) pour renouveler les accès sans reconnecter l'utilisateur. Révoquez les refresh tokens en cas de suspicion de compromission.

Comment révoquer un JWT avant son expiration ?

Les JWT étant stateless, ils ne peuvent pas être révoqués directement. Implémentez une liste noire (blacklist) côté serveur pour les tokens compromis. Utilisez des identifiants de token (jti) uniques et stockez les tokens révoqués dans Redis avec une TTL égale à la durée de vie restante. Cette approche ajoute une surcharge mais sécurise les scénarios critiques.

Quelles attaques ciblent les API REST ?

Les principales attaques sont : injection SQL (via les paramètres), CSRF (pour les endpoints sensibles), brute force (sur les endpoints d'authentification), man-in-the-middle (sans HTTPS), et les fuites de données (exposition d'informations sensibles). Les API sont aussi vulnérables aux attaques DDoS et aux abus de rate limiting.

Sécurité des API REST : authentification JWT et bonnes pratiques

Les API REST constituent le système nerveux des applications modernes. Elles exposent des données et des fonctionnalités critiques, ce qui en fait des cibles privilégiées pour les attaquants. Une API mal sécurisée peut entraîner des fuites de données massives, des prises de contrôle de compte, ou des perturbations de service. La sécurité ne s'improvise pas : elle se construit dès la conception et se maintient tout au long du cycle de vie.

Les statistiques sont alarmantes : selon le rapport OWASP API Security Top 10, les failles d'authentification représentent 40% des vulnérabilités critiques des API. L'implémentation incorrecte de JWT, la gestion laxiste des sessions, et l'absence de rate limiting ouvrent des brèches exploitables. Ce guide vous donne les clés pour sécuriser efficacement vos API.

Comprendre l'authentification JWT

JSON Web Token (JWT) est un standard ouvert (RFC 7519) pour transmettre des informations de manière sécurisée entre deux parties. Un JWT se compose de trois parties encodées en base64 : l'en-tête (algorithme de signature), le payload (les claims ou données), et la signature (vérification de l'intégrité). Cette structure permet de transporter des informations d'identité sans nécessiter de stockage serveur.

L'authentification JWT suit un flux standard. Le client envoie ses credentials (login/mot de passe) au serveur. Le serveur vérifie ces credentials et génère un JWT signé. Le client stocke ce token et l'inclut dans l'en-tête Authorization: Bearer de chaque requête suivante. Le serveur vérifie la signature et extrait les claims pour identifier l'utilisateur.

La signature garantit l'intégrité du token. Si le payload est modifié, la signature ne correspond plus et le token est rejeté. L'algorithme HS256 (HMAC avec SHA-256) utilise un secret partagé. L'algorithme RS256 (RSA avec SHA-256) utilise une paire de clés publique/privée, permettant de vérifier les tokens sans exposer le secret de signature.

Structure et claims d'un JWT

Le payload contient des claims, des paires clé-valeur standardisées. Les claims enregistrés incluent : iss (émetteur), sub (sujet, généralement l'ID utilisateur), aud (audience), exp (date d'expiration), iat (date d'émission), et jti (identifiant unique). Ajoutez des claims personnalisés pour transporter des informations métier : roles, permissions, organisation.

Attention à ne pas stocker d'informations sensibles dans le payload. Le JWT est encodé, pas chiffré : n'importe qui peut lire son contenu. Les mots de passe, les données personnelles sensibles, ou les secrets n'ont pas leur place dans un JWT. Ces informations doivent rester côté serveur et être récupérées via des endpoints dédiés.

Implémenter JWT correctement

La génération du token doit utiliser une bibliothèque éprouvée. En Node.js, jsonwebtoken est la référence. En Python, PyJWT. En PHP, firebase/php-jwt. Évitez les implémentations maison qui introduisent souvent des vulnérabilités. Configurez correctement l'algorithme de signature et n'acceptez jamais l'algorithme 'none' qui désactive la vérification.

La durée de vie du token doit être courte. Un access token de 15 minutes à 1 heure limite la fenêtre d'exploitation en cas de vol. Le refresh token, de durée plus longue (7 à 30 jours), permet de renouveler l'access token sans redemander les credentials. Stockez le refresh token de manière sécurisée et révoquez-le en cas de suspicion.

La validation du token doit vérifier tous les aspects : signature valide, date d'expiration non dépassée, émetteur attendu, audience correspondante. Ne vous contentez pas de décoder le token : vérifiez sa signature avec votre secret ou clé publique. Une validation incomplète ouvre la porte à des attaques de contrefaçon de token.

Stockage client et protection contre les attaques

Le stockage du JWT côté client influence la sécurité globale. Le localStorage est vulnérable aux attaques XSS : un script malveillant peut lire tous les tokens stockés. Les cookies HttpOnly et Secure offrent une meilleure protection : ils ne sont pas accessibles via JavaScript et ne transitent que sur des connexions HTTPS.

L'attribut SameSite des cookies protège contre le CSRF. SameSite=Strict bloque l'envoi du cookie sur les requêtes cross-site. SameSite=Lax l'autorise pour les navigations de premier niveau (liens) mais pas pour les requêtes AJAX ou les formulaires tiers. Pour les API utilisées par des frontends sur des domaines différents, configurez CORS correctement.

Le chiffrement TLS est obligatoire en production. Les JWT transmis en clair peuvent être interceptés et volés. Utilisez HTTPS avec des certificats valides et une configuration TLS moderne (TLS 1.2 minimum, préférence pour TLS 1.3). Les en-têtes HSTS forcent l'utilisation de HTTPS et protègent contre les attaques de downgrade.

Rate limiting et protection contre les abus

Le rate limiting limite le nombre de requêtes par client sur une période donnée. Cette protection prévient les attaques brute force sur les endpoints d'authentification, les abus d'API, et les dénis de service. Implémentez-le au niveau du reverse proxy (nginx, Traefik) ou via des middlewares applicatifs (express-rate-limit, Django Ratelimit).

Les stratégies de rate limiting varient selon les endpoints. Les endpoints publics peuvent être limités à 100 requêtes par minute. Les endpoints d'authentification doivent être plus restrictifs : 5 tentatives par minute par IP pour prévenir le brute force. Les endpoints authentifiés peuvent utiliser des limites par utilisateur plutôt que par IP.

La réponse aux requêtes excédentaires doit être standardisée. Retournez un code 429 Too Many Requests avec un en-tête Retry-After indiquant le délai avant la prochaine tentative. Cette transparence aide les clients légitimes à adapter leur comportement tout en décourageant les attaquants.

Validation des entrées et protection contre les injections

Chaque entrée utilisateur doit être validée et assainie. Les injections SQL restent une vulnérabilité majeure malgré leur ancienneté. Utilisez des requêtes paramétrées ou des ORM qui échappent automatiquement les valeurs. Ne concaténez jamais d'entrées utilisateur dans des requêtes SQL brutes.

La validation doit vérifier le type, le format, et la plage des valeurs attendues. Un ID doit être un entier positif. Une adresse email doit correspondre au format attendu. Une date doit être dans une plage raisonnable. Ces validations préviennent les injections mais aussi les erreurs logiques exploitable.

Les erreurs de validation ne doivent pas révéler d'informations sensibles. Retournez des messages génériques comme 'Paramètre invalide' plutôt que 'Utilisateur non trouvé' qui permettrait l'énumération de comptes. Loggez les erreurs détaillées côté serveur pour le débogage mais ne les exposez pas au client.

Gestion des erreurs et logging sécurisé

Les réponses d'erreur ne doivent pas exposer d'informations internes. Une erreur 500 avec la stack trace révèle la structure de votre application. Retournez des messages génériques pour les erreurs serveur et loggez les détails en interne. Les erreurs 404 ne doivent pas distinguer 'ressource inexistante' de 'accès non autorisé' pour éviter l'énumération.

Les logs doivent capturer les événements de sécurité : tentatives d'authentification, échecs de validation, accès aux ressources sensibles. Ces logs permettent de détecter les attaques et d'investiger après un incident. Ne loggez jamais de données sensibles : mots de passe, tokens, données personnelles.

La surveillance en temps réel détecte les anomalies. Des outils comme ELK Stack, Splunk, ou des solutions SaaS (Datadog, Sentry) agrègent les logs et alertent sur les patterns suspects. Configurez des alertes pour les pics de tentatives d'authentification, les accès inhabituels, ou les erreurs répétées.

Audit et tests de sécurité

Les tests de sécurité réguliers valident l'efficacité des protections. Les tests automatisés avec des outils comme OWASP ZAP ou Burp Suite scanment les vulnérabilités connues. Les tests manuels par des experts simulent des attaques réelles et découvrent des failles logiques non détectables automatiquement.

L'audit du code source révèle les mauvaises pratiques : secrets codés en dur, validations manquantes, algorithmes faibles. Les outils d'analyse statique (SonarQube, Snyk) automatisent cette détection. Intégrez ces analyses dans le pipeline CI/CD pour bloquer les introductions de vulnérabilités.

La veille sur les vulnérabilités maintient la sécurité dans le temps. Abonnez-vous aux bulletins de sécurité des bibliothèques utilisées. Mettez à jour régulièrement les dépendances, particulièrement celles liées à la sécurité. Les failles dans les bibliothèques JWT sont rapidement exploitées après leur divulgation.

En conclusion, la sécurité des API REST demande une approche multicouche et une vigilance constante. Pour approfondir vos connaissances en développement d'API, consultez notre guide sur le développement d'APIs REST. Découvrez également les différences entre GraphQL et REST pour les APIs modernes. Enfin, pour une vue d'ensemble des bonnes pratiques, lisez notre article sur la sécurisation des applications web.