Qu’est-ce que JWT et comment cette technologie protège vos documents

25 mai 2022 By Dasha 0 17
Share

Il existe plusieurs moyens de protéger les fichiers – en utilisant le chiffrement, les filigranes, les autorisations d’accès restrictives. Mais la sécurité des documents ne s’arrête pas là. Aujourd’hui, nous allons vous parler de JWT, un agent de protection d’accès important qui fonctionne toujours en arrière-plan et garantit que seuls les utilisateurs autorisés peuvent modifier vos fichiers.What is JWT and how this technology protects your documents

Qu’est-ce que JWT ?

JSON Web Token (JWT, prononcé comme /dʒɒt/) est un standard ouvert pour l’échange sécurisé d’informations en ligne utilisé principalement à deux fins : l’autorisation et le transfert de données.

Un objet JSON compact contient les informations d’authentification et permet de vérifier les utilisateurs légitimes du service, lorsqu’il est appliqué dans des applications web. En bref, il aide l’application à confirmer que l’expéditeur de l’information est bien celui qu’il prétend être.

JWT est un jeton autonome sous forme de chaîne de caractères qui se compose de trois parties : l’en-tête (header), la charge utile (payload) et la signature. L’en-tête contient les informations sur le jeton et la façon dont la signature est générée, la charge utile contient les déclarations sur l’utilisateur nécessaires pour lui accorder l’autorisation d’accès et la signature valide l’utilisateur.

Le jeton peut être signé avec une clé secrète qui permet de valider l’origine des données transférées.

Comment ONLYOFFICE utilise les jetons de sécurité ?

Dans ONLYOFFICE, JWT sécurise le flux de données entre l’éditeur et l’utilisateur. Il permet de vérifier les utilisateurs qui entrent dans les sessions d’édition dans Docs et tentent d’effectuer certaines actions dans les documents. Pour chaque requête HTTP depuis et vers ONLYOFFICE Document server, un jeton est généré et ajouté aux paramètres.

Ici, différents JWT sont générés pour différentes actions de l’utilisateur. Bien que les jetons soient signés avec le même secret dans chaque cas, les informations qui permettent d’autoriser l’entrée sont différentes. Par exemple, un jeton distinct est créé pour ouvrir l’éditeur, pour insérer une image dans le fichier, pour ouvrir l’historique des versions du document, etc.

Pour instant, pour ajouter une image PNG au fichier hébergé sur www.example.com, les paramètres suivants seront inclus dans le jeton :

{
"fileType": "png",
"url": "https://example.com/url-to-example-image.png"
}

Le jeton type ressemblera à ceci :

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmaWxlVHlwZSI6InBuZyIsInVybCI6Imh0dHBzOi8vZXhhbXBsZS5jb20vdXJsLXRvLWV4YW1wbGUtaW1hZ2UucG5nIn0.FXuC3GUvPq3japwyzo4i-utUe3g1rfSDt1ytuK_VyCc

Pour signer le JWT, un secret personnalisé est utilisé dans chaque service de partage où ONLYOFFICE Docs est intégré.

Où trouver la clé secrète ?

Dans les versions précédentes d’ONLYOFFICE Docs, il n’y avait pas de secret JWT inclus par défaut – il devait être généré par un administrateur du service hôte (par exemple, Nextcloud) et soumis à ONLYOFFICE Document Server manuellement via les paramètres.

Où est disponible JWT ?

JWT est pris en charge dans presque toutes les applications d’intégration officielles de ONLYOFFICE:

  • Nextcloud
  • ownCloud
  • Alfresco
  • Moodle
  • Mattermost
  • Chamilo
  • HumHub
  • Confluence
  • Plone
  • Strapi
  • Liferay
  • Jira
  • Nuxeo
  • Redmine
  • WordPress

Vous pouvez consulter toutes les intégrations disponibles sur notre site web et trouver des guides de configuration des jetons sur les pages GitHub correspondantes.

Si vous souhaitez créer une application d’intégration ONLYOFFICE pour votre propre application, il est possible d’ajouter la prise en charge des jetons de sécurité en utilisant nos instructions API.

Share

Ajouter un comentaire