Configurer JSON Web Encryption (JWE)

Pour utiliser les fonctionnalités de Highly Regulated Identity, vous devez disposer d’un plan Enterprise avec le module complémentaire Highly Regulated Identity. Consultez Auth0 Pricing pour en savoir plus.

Par défaut, Auth0 émet des au format JSON Web Token (JWT) signé, ce qui signifie que, même si leur intégrité est protégée, les clients et les autres intermédiaires peuvent quand même les inspecter. Cela peut compromettre la confidentialité des données destinées à n’être exposées qu’à un . Pour empêcher l’inspection non autorisée des jetons d’accès, Auth0 prend en charge l’utilisation de jetons d’accès imbriqués, où les informations d’accès sont signées dans un JWT, puis chiffrées et représentées au moyen de JSON Web Encryption (JWE). Les serveurs de ressources doivent à la fois déchiffrer ces jetons d’accès et vérifier la signature du payload JWT, tandis que ces informations restent opaques pour toute autre partie.

Générer une paire de clés RSA

Avant de configurer une API pour utiliser JWE, vous devez générer une paire de clés RSA. La clé privée doit rester secrète. Téléversez la clé publique dans Auth0, encodée au format PEM, comme indiqué dans Générer une paire de clés RSA. Seul le serveur de ressources ou le serveur d’API peut accéder de manière sécurisée à la clé privée pour déchiffrer le jeton d’accès.

Configurer JWE pour une API

Auth0 Dashboard
Management API

Utilisez Auth0 Dashboard pour configurer JWE pour votre API. Pour commencer, activez l’option JSON Web Encryption (JWE) sous Token Settings pour votre API.

Lorsque vous y êtes invité, ajoutez une clé JSON Web Encryption (JWE) :

Entrez un nom convivial pour la repérer facilement.
Téléversez un certificat contenant la clé publique encodée au format PEM.
Sélectionnez l’algorithme de chiffrement.
(Facultatif) Entrez un identifiant de clé.

Cliquez sur Add pour enregistrer la clé JWE, ce qui générera l’empreinte du certificat.

Utilisez Auth0 Management API pour configurer JWE pour un serveur de ressources ou un serveur d’API. Vous devez configurer JWE pour chaque API afin que chacune ait sa propre clé de chiffrement publique.La requête POST suivante configure une nouvelle API pour recevoir des jetons d’accès chiffrés :

curl -X POST --location "https://{domain}/api/v2/resource-servers" \
    -H "Authorization: Bearer {managementAccessToken}" \
    -H "Content-Type: application/json" \
    --data-raw '{
  "name": "{apiName}",
  "identifier": "{apiIdentifier}",
  "token_encryption": {
    "format": "compact-nested-jwe",
    "encryption_key":
    {
      "name": "{credentialName}",
      "pem": "{pem}",
      "alg": "{alg}",
      "kid": "{kid}"
    }
  }
}'

Le tableau suivant explique la signification des différents paramètres :

Paramètre	Obligatoire?	Description
`apiName`	Obligatoire	Le nom de votre nouvelle API.
`apiIdentifier`	Obligatoire	L’identifiant unique de votre API. Il sera utilisé comme audience de votre jeton.
`credentialName`	Facultatif	Le nom de votre clé publique.
`pem`	Obligatoire	Clé publique encodée au format PEM.
`alg`	Obligatoire	L’algorithme de chiffrement doit être `RSA-OAEP-256`, `RSA-OAEP-384` ou `RSA-OAEP-512`.
`kid`	Facultatif	L’identifiant utilisé pour écrire dans l’en-tête `kid` de votre jeton JWE. Il peut servir à identifier la clé utilisée pour le chiffrement pendant la rotation des clés.

La réponse contient la propriété id, qui identifie de façon unique le serveur de ressources. Elle contient aussi un champ thumbprint_sha256 généré, qui peut être utilisé pour identifier la clé. Auth0 ne renverra pas les données de la clé après sa création initiale (dans ce cas-ci, votre PEM).Il existe plusieurs façons de générer thumbprint_sha256. Pour en savoir plus, consultez la RFC 8705 OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens.Pour vous assurer d’avoir généré le bon thumbprint_sha256, vous pouvez utiliser l’exemple de code Node.js suivant pour extraire l’empreinte :

const fs = require('fs');
const crypto = require('crypto');

const { calculateJwkThumbprint, exportJWK } = require('jose');

const publicKeyObject = crypto.createPublicKey(fs.readFileSync('./my_cert.pem'));
exportJWK(publicKeyObject).then((jwk) => {
  calculateJwkThumbprint(jwk, 'sha256').then((thumbprint) => {
    console.log(thumbprint);
  });
});

En savoir plus

JSON Web Encryption

​Générer une paire de clés RSA

​Configurer JWE pour une API

​En savoir plus

Générer une paire de clés RSA

Configurer JWE pour une API

En savoir plus