Scénario d’attaque JWT: la substitution d’algorithme de signature
HS256 est un algorithme symétrique tandis que RS256 est un algorithme asymétrique. En remplaçant l’algorithme RS256 par HS256 dans l’entête du jeton, l’application utilise la clé publique comme secret et se sert de l’algorithme HS256 pour vérifier la signature des messages.
Protéger une API SpringBoot 3.x avec Keycloak
Je vous montre comment créer pas à pas une API REST SpringBoot 3.x protégé par Keycloak
Voici comment vérifier la signature d’un jeton Keycloak
Il y’a deux façons de vérifier la signature d’un jeton JWT Keycloak. D’une part une méthode locale au niveau de l’application, d’autre part une méthode qui fait appel au endpoint userinfo de Keycloak.