Discussion :

[pas30]

Bonjour,

Je travaille actuellement sur une application mobile qui appelle en api des scripts php utilisant MySQL pour la gestion des données. Je cherche à sécuriser les communications entre mon application mobile et mes scripts php présent sur le serveur. Côté application mobile, cela parle beaucoup de JWT mais il est nécessaire que PHP génère un token et c'est là que je bloque. Comment générer un token avec php ?

[grunk]

Soit tu te paluche la RFC correspondante pour tout faire toi même (bon courage).
Soit tu utilises une librairie. Pour PHP une des plus utilisé est surement https://github.com/firebase/php-jwt

[pas30]

Pourquoi c'est marqué firebase dedans ??? Je ne veux pas utiliser firebase.

Et d'ailleurs est-ce que quelqu'un peut m'expliquer le fonctionnement d'un système de token généré par un serveur.

[grunk]

Pourquoi c'est marqué firebase dedans ??? Je ne veux pas utiliser firebase.

Il est pas question d'utiliser firebase , c'est juste que la lib est faites par google qui gère firebase.

[pas30]

Ah ok Tu l'as déjà utilisé cette librairie php-jwt ??? C'est très sécurisé ?

J'ai essayé de comprendre autant que possible comment marche le système de jeton. Voila ce que j'en ai compris :

l'utilisateur se loggue sur l'appli à ce moment là le serveur créé un token pour l'utilisateur et va l'envoyer à l'appli qui va elle le stocker (avec flutter_secure_storage pour ma part).

A chaque requête http envoyé je passe dans le header de la requête le token stocké sur le mobile et je l'envoie donc à mon script php qui lui va analyser que le token correspond bien à un token délivré et qu'il est bien rattaché à l'utilisateur correspondant.

Voila je ne suis pas sûr que ma compréhension soit la bonne. En tout cas pour l'instant je trouve le développement d'appli mobile avec api passionnant même si assez complexe quand on ne vient pas du monde du développement mobile.

[grunk]

Oui je l'utilise sur plusieurs site/API.

Ta compréhension des token jwt est la bonne.
Pour rendre la chose sécurisé il faut donné des durée de vie assez faible aux tokens (de mémoire la préco est de 15 minutes). De fait , si quelqu'un arrive à intercepter un token il ne sera valable que peu de temps.

Si ton applicatif à besoin de rester connecté longtemps , il faudra mettre en place un système de renouvellement de token (par ex : le serveur renvoi un nouveau token via un header spécial avant que l'actuel périme).

L'avantage de jwt c'est que c'est un standard adopté par beaucoup et probablement plus sécurisé qu'un truc fait soit même.

[pas30]

Mettons qu'un token ne soit valable QUE 15 minutes, que va-t-il se passer si l'utilisateur fait une requete http avec un token expiré ??? J'avais prévu de générer un nouveau token à chaque utilisation de l'application donc il se connecte je génère un nouveau token

[grunk]

Il se passe ce que tu veux bien qu'il se passe.
Tu recois le token tu le vérifie , à toi ensuite de faire ce que tu veux en fonction du résultat

[pas30]

Si le token est bon mais expiré ? On en regénère un nouveau et on le renvoie à l'application ? On renouvelle donc simplement le token ?

[grunk]

La logique veux que si le token est invalide (quelque soit la raison) on refuse la requête (HTTP 403).
Si renouvellement il doit y'avoir il doit se faire pendant la période de validité avant l'expiration.

CE qui peut être fait coté client e nrevanche c'est de géré la problématique. A partir du moment ou tu reçois un 403 , tu ne dis rien à l'utilisateur , tu essai de te reconnecter et d'obtenir un nouveau token et tu rejoue la requête qui à échouée. De la sorte tu es repartit pour 15 min.
Si cette procédure échoue , alors seulement on déconnecte le client et on informe le l'utilisateur qu'il faut se reconnecter.