[FEATURE] Conditionner la validation des AT utilisateurs en comparant l’aud des AT utilisateurs à la forwardedOrigin (PIX-15944) #11208
Conversation
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
|
Une fois les applications déployées, elles seront accessibles via les liens suivants :
Les variables d'environnement seront accessibles via les liens suivants : |
lego-technix
assigned P-Jeremy and lego-technix and unassigned P-Jeremy and lego-technix
lego-technix
force-pushed
the
pix-15944-check-audience-in-AT-for-authentication
branch
3 times, most recently
from
a63456b to
abd68e6
Compare
…them from audience validation
…ers helper to have a valid authentication through a user Access Tokens now with audience
…estHeaders helper to have a valid authentication through a user Access Tokens now with audience
…stHeaders helper to have a valid authentication through a user Access Tokens now with audience
lego-technix
force-pushed
the
pix-15944-check-audience-in-AT-for-authentication
branch
from
abd68e6 to
c3fec9b
Compare
lego-technix
added
👀 Tech Review Needed
👀 Func Review Needed
and removed
Development in progress
labels
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.
🥞 Problème
C'est la suite de #11207
Maintenant que chaque Access Token utilisateur est porteur d'une
audience(enregistrée dans le JWT avec la propriétéaud), on peut vérifier, au niveau de la couche applicative, que cetteaudiencelégitime correspond bien au frontal auquel l'Access Token est envoyé.🥓 Proposition
Mettre en place, au niveau de la couche applicative, un mécanisme de vérification vérifiant que l’
audde chaque Access Token utilisateur correspond bien au frontal auquel l'Access Token est envoyé.Cette PR active le Feature Toggle (FT)
FT_USER_TOKEN_AUD_CONFINEMENT_ENABLEDpour tous les tests, de manière à valider que le dispositif mis en place est bien fonctionnel dans tous les cas et qu’aucune régression dans son fonctionnement ne puisse arriver avant l'activation définitive et non-optionnelle du mécanisme de vérification de l’audience.Mais cette PR n'active pas encore la vérification que l’
audde chaque Access Token utilisateur. Pour cela il faut toujours activer le FT de la manière suivante :🧃 Remarques
Une fois que #11207 est mergée :
devfeat(api): mark anonymous Access Tokens as such to temporary exlcude them from audience validationfeat(api): validate audience of non-anonymous user Access Tokensen enlevant la condition!decodedAccessToken.anonymous😋 Pour tester
Faire les tests fonctionnels avec le FT activé :