AFUP AFUP Day 2021 Baromètre Planète PHP

La parole est aux speakers : Karim Pinchon

Jusqu’à l’AFUP Day 2021, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !

La conférence

Connaissez-vous vraiment JWT ?

Depuis quelques années déjà, beaucoup d'entre nous avons vu passer ou utiliser des jetons un peu spéciaux : les JSON Web Tokens ou JWT. Ce standard de jeton est très pratique pour faire transiter de l'information de manière fiable. Ces jetons sont souvent utilisés pour assurer l'authentication auprès de de web services, de micro-services ou de SSO dans le cadre d'OpenID Connect. De plus, on voit beaucoup de JWS (des jetons signés), mais ce n'est pas la seule implémentation qui existe. En réalité, la spécification JWT est nettement plus vaste que ce que l'on peut penser. Je vous propose de découvrir des aspects de JWT moins connus que l'utilisation classique.

Lille
28/05/2021
15:15-15:55

Saurais-tu nous dire quel est le plus gros défaut de l’utilisation d’un token JWT et pourquoi ?

Alors je voudrais pas trop spoiler ma présentation, mais pour moi le plus gros problème concernant JWT c’est la façon dont les dev veulent s’en servir. Ce type de jeton est fait pour être sans état, utilisé dans des systèmes distribués, et j’ai l’impression que beaucoup de mes collègues se mettent en quatre pour essayer d’avoir un moyen de les révoquer ou les invalider de quelque manière que ce soit. Au final, ça donne des systèmes vraiment compliqués et très loin de l’ambition initiale de JWT. Si tu stockes une référence à des JWT en base de données pour gérer une liste de révocation par exemple, je pense que tu passes à côté de l’intérêt de cette techno.

Tu as déjà donné une conférence auprès de l’AFUP. Qu’est-ce qui t’a motivé à te lancer ?

Il y a quelques années j’ai eu envie de progresser dans mon métier de développeur, alors j’ai commencé à notamment regarder des vidéos de conférences comme celles de l’AFUP :). Un jour, j’ai eu envie d’aller un peu plus loin en allant assister à des conférences. J’ai adoré l’ambiance, la bienveillance, la disponibilité des organisateurs, des speakers, et tous les autres. J’ai eu la chance de pouvoir échanger avec plein de gens et apprendre plein de choses. Et puis, je me suis également rendu compte qu’il n’était pas nécessaire d’être un expert dans une techno pour partager avec les autres. Alors je me suis dit pourquoi pas ! D’abord, ça permet d’approfondir ses connaissances sur un sujet (je connais plutôt bien JWT mais j’ai quand même fait des recherches et j’ai appris de nouvelles choses pour préparer ma conférence), ensuite, je ne le cache pas, c’est aussi une façon de se faire connaitre, montrer à de potentiels recruteurs une partie des ses « soft skills ». Enfin c’est aussi une envie de partager, je trouve ça extraordinaire de faire un métier dans lequel le partage peut avoir une place aussi importante.

Nous avons suivi tes conférences sur la sécurité, que penses-tu du Shamir’s Secret Sharing Scheme pour partager une clé privée ?

Je pense savoir qui pose cette question… J’ai vu passer un ou deux articles de Grégoire (bénévole à l’AFUP Hauts-de-France) via Twitter :D. Bon désolé de vous décevoir mais je ne suis pas cryptographe et je n’ai jamais eu l’occasion de jouer avec le Shamir’s Secret Sharing Scheme donc je n’ai pas grand-chose à en dire ! Juste ça a l’air vraiment intéressant et que l’on doit pouvoir imaginer des cas d’usages cool utilisant des accès partagés.

Le speaker

Karim PINCHON
Karim PINCHON
Développeur PHP (mais aussi Java), Karim est spécialisé en développement d'API. Le partage de connaissances est pour lui fondamental dans l'approche de son métier : il participe en tant que spectateur ou speaker à des conférences de devs autant que possible. Il donne depuis quelques années des cours de Web services à des étudiant•e•s de Master. Il a une sensibilité particulière sur les sujets de sécurité, d'authentification (OAuth2, OpenIdConnect) et de signature électronique (PKI), puisque ce sont des sujets sur lesquels il travaille depuis près de 10 ans.

Autres interviews

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation des cookies pour améliorer votre navigation. plus d'infos

1. Qu’est-ce qu’un cookie?

Un Cookie est un petit fichier texte enregistré sur votre terminal (ordinateur, tablette, smartphone, etc.), à l’occasion de la consultation d’un service en ligne grâce à votre logiciel de navigation. Il permet à son émetteur d’identifier le terminal dans lequel il est enregistré, pendant la durée de validité ou d’enregistrement du Cookie. Lors de la consultation de notre site Internet, des informations relatives à la navigation de votre terminal sont susceptibles d'être enregistrées dans ces fichiers dits "Cookies". Ces derniers sont installés sur votre terminal, sous réserve des choix que vous auriez exprimés concernant les Cookies et que vous pouvez modifier à tout moment.

2. A quoi servent les cookies émis sur notre site ?

Seul l’émetteur d’un cookie est susceptible de lire ou de modifier les informations qui y sont contenues.
Les cookies utilisés sur notre site permettent :

3. Vos choix concernant les cookies

Vous disposez de différents moyens pour gérer les cookies. Tout paramétrage que vous pouvez entreprendre sera susceptible de modifier votre navigation sur notre site et sur Internet en général et vos conditions d'accès à certains services de notre site nécessitant l'utilisation de cookies. Vous pouvez à tout moment exprimer et modifier vos souhaits en matière de cookies, par les moyens décrits ci-dessous. L'accord sur les cookies L'enregistrement d'un cookie dans un terminal est essentiellement subordonné à la volonté de l'utilisateur du terminal, que celui-ci peut exprimer et modifier à tout moment et gratuitement à travers les choix qui lui sont offerts par son logiciel de navigation. Si vous avez accepté dans votre logiciel de navigation l'enregistrement de cookies dans votre terminal, les cookies intégrés dans les pages et contenus que vous avez consultés pourront être stockés temporairement dans un espace dédié de votre terminal. Ils y seront lisibles uniquement par leur émetteur.

Le refus des cookies Si vous refusez l'enregistrement de cookies dans votre terminal, ou si vous supprimez ceux qui y sont enregistrés, vous ne pourrez plus bénéficier d'un certain nombre de fonctionnalités qui sont néanmoins nécessaires pour naviguer dans certains espaces de notre site. Tel serait le cas si vous tentiez d'accéder à votre compte ou à votre abonnement qui nécessite de vous identifier. Tel serait également le cas lorsque nous, ou nos prestataires, ne pourrions pas reconnaître, à des fins de compatibilité technique, le type de navigateur utilisé par votre terminal, ses paramètres de langue et d'affichage ou le pays depuis lequel votre terminal semble connecté à Internet. Le cas échéant, nous déclinons toute responsabilité pour les conséquences liées au fonctionnement dégradé de nos services résultant de l'impossibilité pour nous d'enregistrer ou de consulter les cookies nécessaires à leur fonctionnement et que vous auriez refusés ou supprimés. Les choix offerts par votre logiciel de navigation Vous pouvez configurer votre logiciel de navigation de manière à ce que des cookies soient enregistrés dans votre terminal ou, au contraire, qu'ils soient rejetés, soit systématiquement, soit selon leur émetteur. Vous pouvez également configurer votre logiciel de navigation de manière à ce que l'acceptation ou le refus des cookies vous soient proposés ponctuellement, avant qu'un cookie soit susceptible d'être enregistré dans votre terminal. Pour la gestion des cookies et de vos choix, la configuration de chaque navigateur est différente. Elle est décrite dans le menu d'aide de votre navigateur, qui vous permettra de savoir de quelle manière modifier vos souhaits en matière de cookies. Selon votre navigateur, consultez le lien ci-dessous pour configurer votre navigateur et refuser les cookies :