|
Débuté par roumegou, 11 mar. 2022 15:01 - 9 réponses |
| |
| | | |
|
| |
Posté le 11 mars 2022 - 15:01 |
Bonjour
Nous allons devoir faire une authentification de type JWT sur un webservice. Avant d'intégrer une library php, C ou autre, existe-t-il un moyen de le faire en wlangage natif
et si oui avez vous des exemples de codes ? Merci
-- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. https://www.avast.com/antivirus |
| |
| |
| | | |
|
| | |
| |
Posté le 11 mars 2022 - 15:57 |
Roumegou a présenté l'énoncé suivant :
Bonjour
Nous allons devoir faire une authentification de type JWT sur un webservice. Avant d'intégrer une library php, C ou autre, existe-t-il un moyen de le faire en wlangage natif
et si oui avez vous des exemples de codes ? Merci
nous allons nous baser sur ça https://gist.github.com/ysbaddaden/1063d0aa671cb3aab2f7e842cd9dcfb4
-- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. https://www.avast.com/antivirus |
| |
| |
| | | |
|
| | |
| |
Posté le 11 mars 2022 - 16:58 |
Faisable en webdev (mon projet est en webdev PHP)
voici le cœur de ma procédure + un exemple
Procedure JWT_Base64UrlEncode(data, res is string)
i is int
WHEN EXCEPTION IN res = Encrypt(data , "", compressNone + cryptNone, encodeBASE64) res = Replace(res, "/", "_") res = Replace(res, "+", "-") res = Replace(res, CR, "") i = Length(res) WHILE i>0 _AND_ res[[i]]="=" i-=1 END res = Gauche(res, i) RESULT VRAI DO Erreur(ExceptionInfo(errMessage)) RENVOYER FAUX END
Procedure JWT_Token(stMonJWT est un ST_JWT, Token est une chaîne)
WHEN EXCEPTION IN
header_, payload_, signature_ est une chaîne Token = "" SI PAS JWT_Base64UrlEncode(__JWT_Header, header_) ALORS RENVOYER FAUX SI PAS JWT_Base64UrlEncode(stMonJWT.payload_json, payload_) ALORS RENVOYER FAUX mess est une chaîne = header_ + "." + payload_ buf_cle is Buffer = HashString(HA_HMAC_SHA_256, mess, __JWT_Key) SI PAS JWT_Base64UrlEncode(buf_cle, signature_) ALORS RENVOYER FAUX Token = header_ + "." + payload_ + "." + signature_ RENVOYER VRAI DO Erreur(ExceptionInfo(errMessage)) RENVOYER FAUX END |
| |
| |
| | | |
|
| | |
| |
Membre enregistré 458 messages |
|
Posté le 11 mars 2022 - 17:24 |
Bonjour,
Un peu dans la même veine, voilà ce que j'ai :
Procedure GenereJWT()
vHeaders est un Variant vPayload est un Variant
sCléSecrète est une chaîne = "CeciEstMaCléSecrète"
vHeaders.alg = "HS256" vHeaders.typ = "JWT"
vPayload.iss = "TestWinDev" vPayload.iat = DateHeureVersEpoch(DateHeureSys()) vPayload.sub = "test" vPayload.exp = DateHeureVersEpoch(DateHeureSys()) + 20*60
vPayload.role = "admin"
sEncodedHeaders est une chaîne = Remplace(Encode(ChaîneVersUTF8(VariantVersJSON(vHeaders,psdMinifié)),encodeBASE64URL),"=", "") sEncodedPayload est une chaîne = Remplace(Encode(ChaîneVersUTF8(VariantVersJSON(vPayload,psdMinifié)),encodeBASE64URL),"=", "")
sSignature est une chaîne = Remplace(Encode(HashChaîne(HA_HMAC_SHA_256,sEncodedHeaders + "." + sEncodedPayload,ChaîneVersUTF8(sCléSecrète)),encodeBASE64URL),"=","")
RENVOYER sEncodedHeaders + "." + sEncodedPayload + "." + sSignature
Procedure VérifieJWT(sJWT est une chaîne) : booléen
sCléSecrète est une chaîne = "CeciEstMaCléSecrète" jHeaders est un JSON jPayload est un JSON
tableau de est un tableau de chaînes sJWT.VersTableau(tabParties,".")
SI PAS tabParties..Occurrence = 3 ALORS Trace("Le JWT n'est pas complet") RENVOYER FAUX FIN
QUAND EXCEPTION DANS jHeaders..FormatJSON = (Decode(tabParties[1],encodeBASE64)) FAIRE Trace("Les entêtes ne sont pas formatées au format JSON") RENVOYER FAUX FIN
SI PAS jHeaders.alg..Existe ALORS Trace("L'algorithme de signature n'est pas spécifié") RENVOYER FAUX FIN
SELON jHeaders.alg CAS "HS256": sSignature est une chaîne = Remplace(Encode(HashChaîne(HA_HMAC_SHA_256,tabParties[1] + "." + tabParties[2],ChaîneVersUTF8(sCléSecrète)),encodeBASE64URL),"=","") SI tabParties[3] <> sSignature ALORS Trace("La signature ne correspond pas", tabParties[3], sSignature) RENVOYER FAUX FIN AUTRE CAS Trace("Aucun algorithme correspondant", jHeaders.alg) RENVOYER FAUX FIN
QUAND EXCEPTION DANS jPayload..FormatJSON = (Decode(tabParties[1], encodeBASE64)) FAIRE Trace("Le payload n'est pas formaté au format JSON") RENVOYER FAUX FIN
SI jPayload.exp..Existe ALORS SI DateHeureVersEpoch(DateHeureSys()) > jPayload.exp ALORS Trace("Le JWT a expiré", EpochVersDateHeure(jPayload.exp)) RENVOYER FAUX FIN FIN
RENVOYER VRAI
Attention cependant, l'algorithme HMAC-SHA-256 (ou HS256 dans les JWT) n'est qu'un seul des algorithmes que le JWT peut utiliser. C'est le seul requis par les standards, mais il y en a d'autres. Et les autres sont un peu plus fastidieux à mettre en place... |
| |
| |
| | | |
|
| | |
| |
Posté le 11 mars 2022 - 17:30 |
bchanudet a formulé la demande :
Bonjour, Un peu dans la même veine, voilà ce que j'ai : PROCÉDURE GenereJWT()
vHeaders est un Variant vPayload est un Variant
sCléSecrète est une chaîne = "CeciEstMaCléSecrète"
vHeaders.alg = "HS256" vHeaders.typ = "JWT"
vPayload.iss = "TestWinDev" // issuer vPayload.iat = DateHeureVersEpoch(DateHeureSys()) // issued at vPayload.sub = "test" // subject vPayload.exp = DateHeureVersEpoch(DateHeureSys()) + 20*60 // expire at (maintenant + 20 minutes)
// payload spécifique à l'application vPayload.role = "admin"
sEncodedHeaders est une chaîne = Remplace(Encode(ChaîneVersUTF8(VariantVersJSON(vHeaders,psdMinifié)),encodeBASE64URL),"=", "") sEncodedPayload est une chaîne = Remplace(Encode(ChaîneVersUTF8(VariantVersJSON(vPayload,psdMinifié)),encodeBASE64URL),"=", "")
// génération de la signature sSignature est une chaîne = Remplace(Encode(HashChaîne(HA_HMAC_SHA_256,sEncodedHeaders + "." + sEncodedPayload,ChaîneVersUTF8(sCléSecrète)),encodeBASE64URL),"=","")
RENVOYER sEncodedHeaders + "." + sEncodedPayload + "." + sSignature PROCÉDURE VérifieJWT(sJWT est une chaîne) : booléen
sCléSecrète est une chaîne = "CeciEstMaCléSecrète" jHeaders est un JSON jPayload est un JSON
// Séparation du JWT tabParties est un tableau de chaînes sJWT.VersTableau(tabParties,".")
// On attend trois morceaux : headers + payload + signature SI PAS tabParties..Occurrence = 3 ALORS Trace("Le JWT n'est pas complet") RENVOYER Faux FIN
// On vérifie l'algorithme souhaité QUAND EXCEPTION DANS jHeaders..FormatJSON = (Décode(tabParties[1],encodeBASE64)) FAIRE Trace("Les entêtes ne sont pas formatées au format JSON") RENVOYER Faux FIN
SI PAS jHeaders.alg..Existe ALORS Trace("L'algorithme de signature n'est pas spécifié") RENVOYER Faux FIN
// On vérifie la signature en fonction de l'algorithme décrit. SELON jHeaders.alg CAS "HS256": sSignature est une chaîne = Remplace(Encode(HashChaîne(HA_HMAC_SHA_256,tabParties[1] + "." + tabParties[2],ChaîneVersUTF8(sCléSecrète)),encodeBASE64URL),"=","") SI tabParties[3] <> sSignature ALORS Trace("La signature ne correspond pas", tabParties[3], sSignature) RENVOYER Faux FIN AUTRE CAS Trace("Aucun algorithme correspondant", jHeaders.alg) RENVOYER Faux FIN
// On vérifie les attributs standard du payload QUAND EXCEPTION DANS jPayload..FormatJSON = (Décode(tabParties[1], encodeBASE64)) FAIRE Trace("Le payload n'est pas formaté au format JSON") RENVOYER Faux FIN
// Le token a-t-il expiré ? SI jPayload.exp..Existe ALORS SI DateHeureVersEpoch(DateHeureSys()) > jPayload.exp ALORS Trace("Le JWT a expiré", EpochVersDateHeure(jPayload.exp)) RENVOYER Faux FIN FIN
// Insérer ici d'autres contrôles métier
RENVOYER Vrai Attention cependant, l'algorithme HMAC-SHA-256 (ou HS256 dans les JWT) n'est qu'un seul des algorithmes que le JWT peut utiliser. C'est le seul requis par les standards, mais il y en a d'autres. Et les autres sont un peu plus fastidieux à mettre en place...
merci de vos réponses notre partenaire part sur du HS512
Merci de vos codes qui vont bien nous inspirer. Bon we
-- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. https://www.avast.com/antivirus |
| |
| |
| | | |
|
| | |
| |
Posté le 15 mars 2022 - 08:45 |
Roumegou avait écrit le 11/03/2022 :
bchanudet a formulé la demande : Bonjour, Un peu dans la même veine, voilà ce que j'ai : PROCÉDURE GenereJWT()
vHeaders est un Variant vPayload est un Variant
sCléSecrète est une chaîne = "CeciEstMaCléSecrète"
vHeaders.alg = "HS256" vHeaders.typ = "JWT"
vPayload.iss = "TestWinDev" // issuer vPayload.iat = DateHeureVersEpoch(DateHeureSys()) // issued at vPayload.sub = "test" // subject vPayload.exp = DateHeureVersEpoch(DateHeureSys()) + 20*60 // expire at (maintenant + 20 minutes)
// payload spécifique à l'application vPayload.role = "admin"
sEncodedHeaders est une chaîne = Remplace(Encode(ChaîneVersUTF8(VariantVersJSON(vHeaders,psdMinifié)),encodeBASE64URL),"=", "") sEncodedPayload est une chaîne = Remplace(Encode(ChaîneVersUTF8(VariantVersJSON(vPayload,psdMinifié)),encodeBASE64URL),"=", "")
// génération de la signature sSignature est une chaîne = Remplace(Encode(HashChaîne(HA_HMAC_SHA_256,sEncodedHeaders + "." + sEncodedPayload,ChaîneVersUTF8(sCléSecrète)),encodeBASE64URL),"=","")
RENVOYER sEncodedHeaders + "." + sEncodedPayload + "." + sSignature PROCÉDURE VérifieJWT(sJWT est une chaîne) : booléen
sCléSecrète est une chaîne = "CeciEstMaCléSecrète" jHeaders est un JSON jPayload est un JSON
// Séparation du JWT tabParties est un tableau de chaînes sJWT.VersTableau(tabParties,".")
// On attend trois morceaux : headers + payload + signature SI PAS tabParties..Occurrence = 3 ALORS Trace("Le JWT n'est pas complet") RENVOYER Faux FIN
// On vérifie l'algorithme souhaité QUAND EXCEPTION DANS jHeaders..FormatJSON = (Décode(tabParties[1],encodeBASE64)) FAIRE Trace("Les entêtes ne sont pas formatées au format JSON") RENVOYER Faux FIN
SI PAS jHeaders.alg..Existe ALORS Trace("L'algorithme de signature n'est pas spécifié") RENVOYER Faux FIN
// On vérifie la signature en fonction de l'algorithme décrit. SELON jHeaders.alg CAS "HS256": sSignature est une chaîne = Remplace(Encode(HashChaîne(HA_HMAC_SHA_256,tabParties[1] + "." + tabParties[2],ChaîneVersUTF8(sCléSecrète)),encodeBASE64URL),"=","") SI tabParties[3] <> sSignature ALORS Trace("La signature ne correspond pas", tabParties[3], sSignature) RENVOYER Faux FIN AUTRE CAS Trace("Aucun algorithme correspondant", jHeaders.alg) RENVOYER Faux FIN
// On vérifie les attributs standard du payload QUAND EXCEPTION DANS jPayload..FormatJSON = (Décode(tabParties[1], encodeBASE64)) FAIRE Trace("Le payload n'est pas formaté au format JSON") RENVOYER Faux FIN
// Le token a-t-il expiré ? SI jPayload.exp..Existe ALORS SI DateHeureVersEpoch(DateHeureSys()) > jPayload.exp ALORS Trace("Le JWT a expiré", EpochVersDateHeure(jPayload.exp)) RENVOYER Faux FIN FIN
// Insérer ici d'autres contrôles métier
RENVOYER Vrai Attention cependant, l'algorithme HMAC-SHA-256 (ou HS256 dans les JWT) n'est qu'un seul des algorithmes que le JWT peut utiliser. C'est le seul requis par les standards, mais il y en a d'autres. Et les autres sont un peu plus fastidieux à mettre en place... merci de vos réponses notre partenaire part sur du HS512 Merci de vos codes qui vont bien nous inspirer. Bon we
Bonjour à tous encore merci de vos aides. A noter ce site génial pour produire des jetons de tests
https://jwt.io/
Voici notre code sur du HS512
PROCÉDURE JWTAuth()
Authorization est une chaîne = WebserviceLitEntêteHTTP("Authorization") token est une chaîne = ExtraitChaîne(Authorization,2," ") vParam est un Variant = SetEnvironnement() codesecret est une chaîne = vParam.code verifTokenCode est un Variant = VerifyToken(token,codesecret)
SI verifTokenCode.Status="OK" ALORS
payload est un chaîne = Décode(ExtraitChaîne(token,2,"."),encodeBASE64) payloadVariant est un Variant = JSONVersVariant(payload) codeUser est une chaîne = payloadVariant.sub
vUser est un Variant NumConnexion est un entier = ConnexionBase() vUser = GetUser(codeUser,NumConnexion)
SI vUser.Status = "INVALID_USER" ALORS WebserviceEcritCodeHTTP(404) FIN retourJson est une chaîne = VariantVersJSON(vUser)
RENVOYER retourJson
SINON WebserviceEcritCodeHTTP(400,VariantVersJSON(verifTokenCode)) FIN
A noter que nous avons choisi de passer le token dans les entêtes http sous le code Authorization, pratique qui tend à être un standard
et la procédure VerifYToken
PROCÉDURE VerifyToken(token est une chaîne,codesecret est une chaîne)
header est une chaîne payload est une chaîne signature est une chaîne signaturegenere est une chaîne bufferheader est un Buffer buffpayload est un Buffer
payloadVariant est un Variant timestampactuel est un entier= DateHeureVersEpoch(DateSys())
header=Décode(ExtraitChaîne(token,1,"."),encodeBASE64) payload =Décode(ExtraitChaîne(token,2,"."),encodeBASE64) signature = ExtraitChaîne(token,3,".")
payloadVariant = JSONVersVariant(payload) bufferheader = header buffpayload = payload signaturegenere = HashChaîne(HA_HMAC_SHA_512,(Encode(bufferheader,encodeBASE64URL)+"."+Encode(buffpayload,encodeBASE64URL)),codesecret)
signaturegenere = Encode(signaturegenere,encodeBASE64URL) signaturegenere = Gauche(signaturegenere,Taille(signaturegenere)-2)
vRetour est un Variant SI signaturegenere <> signature ALORS vRetour.Status = "INVALID_TOKEN" SINON SI timestampactuel > payloadVariant.iat ALORS vRetour.Status = "EXPIRED_TOKEN" SINON vRetour.Status = "OK" FIN RENVOYER vRetour
-- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. https://www.avast.com/antivirus |
| |
| |
| | | |
|
| | |
| |
Posté le 22 septembre 2022 - 15:31 |
Bonjour Roumegou , le sujet date un peu mais auriez vous le code en entier de votre exemple de webservice , car il me manque le détail de certaines procédures il y a pas d'exemples chez pc soft ou sur le web de code webservice windev/webdev coté serveur qui gère tout cela... identification user , param , fabrication token , vérification token , transmission etc... |
| |
| |
| | | |
|
| | |
| |
Posté le 22 septembre 2022 - 15:49 |
Michel vient de nous annoncer :
Bonjour Roumegou , le sujet date un peu mais auriez vous le code en entier de votre exemple de webservice , car il me manque le détail de certaines procédures il y a pas d'exemples chez pc soft ou sur le web de code webservice windev/webdev coté serveur qui gère tout cela... identification user , param , fabrication token , vérification token , transmission etc...
Bonjour
je crois que j'avais tout donné ?? à part des focntions persos qui ne concernent que nous comme
SetEnvironnement() qui permet d'initier des variables globales avec des paramètres
NumConnexion est un entier = ConnexionBase()
code pour se connecter à nos bases ici en l'occurrence sqlserver
vUser = GetUser(codeUser,NumConnexion) va lire notre base pour récupérer l'id en lisant notre base de la personne qui se connecte; donc c'est spécifique à notre service
-- Cet e-mail a été vérifié par le logiciel antivirus d'Avast. www.avast.com |
| |
| |
| | | |
|
| | |
| |
Membre enregistré 36 messages |
|
Posté le 11 octobre 2022 - 00:30 |
Bonjour,
N'ayant rien trouvé de disponible, et ne voulant pas recréer ce système de JWT à chaque projet, j'en ai fait un composant disponible sur GitHub, accessible à tous.
https://github.com/WDRomainSimon/COMPOSANT_JWT
Vous avez juste à l'importer et utiliser les fonctions comme décrit dans le README. |
| |
| |
| | | |
|
| | |
| |
Posté le 01 décembre 2024 - 18:23 |
Bonjour,
Je vois que ce code concerne les webservices, mais peut-on integrer le JWT dans les projets WebDev page dynamique en mode session (les pages qui contiennent la partir navigateur et serveur) ? Je n'arrive pas a comprendre le moyen de communication entre la partie navigateur et la partie serveur (REST ou SOAP ou autre chose) pour voir comment ajouter le JWT |
| |
| |
| | | |
|
| | | | |
| | |
|