Clé symétrique : un secret partagé
La procédure pour utiliser un JWT dans une solution de page web intégrée :
1.Créer un JWT avec un chiffrage symétrique. Le JWT est basé sur les (i) informations propriété–valeur que vous saisissez (appelées revendications) ; et (ii) un string aléatoire (le secret partagé).
2.Configurer MobileTogether Server pour vérifier le JWT qui est envoyé depuis la page web. Vous fournissez deux informations : (i) le secret qui a été utilisé pour générer le JWT ; et (ii) la valeur de la revendication Public (qui doit être la même que celle utilisée pour générer le JWT).
3.Dans la page web, transférer le JWT au IFrame.
Lorsque le JWT est transféré au serveur, le serveur le valide en utilisant l'information Public et le secret partagé que vous avez saisi dans les paramètres pour générer le JWT.
Créer un JWT
La description utilise le Générateur de JWT en ligne de Jamie Kurtz pour passer par le processus de création d'un JWT avec une clé symétrique (secret partagé). Elle décrit les revendications (paires propriété–valeur JSON ) qui sont pertinentes pour l'utilisation de JWT dans les solution de page web intégrées de MobileTogether .
Revendications standard
Ce standard de revendications (voir capture d'écran ci-dessous) constitue les revendications principales :
•MobileTogether Server vérifie si l'heure de l'accès du serveur se trouve dans la période de validité du JWT. Veuillez donc configurer les heures d'émission et d'expiration en conséquence.
•Les paramètres Public est une des configurations dont vous aurez besoin pour la configuration sur MobileTogether Server. Veuillez donc spécifier la même valeur dans les deux paramètres Public ici (lors de la génération de JWT) et les configurations Public de MobileTogether Server (voir Configurations MobileTogether Server ci-dessous).
•Le paramètre Subject est l'endroit où vous spécifiez l'utilisateur qui doit être enregistré dans MobileTogether Server. Si le nom de l'utilisateur que vous saisissez ici est un utilisateur enregistré avec MobileTogether Server, le login sera effectué avec les permissions que cet utilisateur possède. Si le nom de l'utilisateur n'est pas enregistré auprès de MobileTogether Server, cet utilisateur sera enregistré auprès de MobileTogether Server et inscrit ; néanmoins, vous devrez définir les permissions pour ce nouvel utilisateurafin qu'il puisse accéder au flux de travail pertinent.
Clé symétrique (ou secret partagé) pour JWT
La clé (ou secret partagé), ainsi que les autres données que vous saisissez, est utilisée pour générer le JWT. Ce secret sera utilisé par MobileTogether Server pour déchiffrer et authentifier le JWT qu'il reçoit depuis la page web. Donc le secret est utilisé aussi bien pour le chiffrage (du JWT) et son déchiffrage. Lors de la génération du JWT, vous pouvez spécifier le string que vous souhaitez en tant que secret partagé. Le même string doit être saisi en tant que le paramètre Secret MobileTogether Server (voir Paramètres MobileTogether Server ci-dessous).
Dans la capture d'écran ci-dessous, un secret de 32 caractère est saisi, et l'algorithme de chiffrage HS256 est sélectionné. Cliquer Create Signed JWT pour créer le JWT et l'afficher dans le champ de texte.
Paramètres MobileTogether Server
Dans l'onglet Paramètres de MobileTogether Server, activer l'authentification JWT (voir capture d'écran ci-dessous), et saisir les paramètres pour :
•Secret : Il s'agit de la clé symétrique (secret partagé) qui a été utilisée pour créer le JWT. Muni de cette information, le serveur pourra vérifier le JWT. (si vous utilisez un chiffrage asymétrique, alors, dans ce champ, saisir la clé publique d'une paire privée–publique.)
•Public : Saisir le même string que vous avez saisi pour Audience revendication lors de la création du JWT.