Ensembles de clés JSON Web

Le JSON Web Key Set (JWKS) est un ensemble de clés contenant les clés publiques utilisées pour vérifier tout émis par le et signé à l’aide de l’algorithme de signature RS256. Lors de la création d’applications et d’API dans Auth0, deux algorithmes sont pris en charge pour signer les : RS256 et HS256. RS256 génère une signature asymétrique, ce qui signifie qu’une clé privée doit être utilisée pour signer le JWT et qu’une clé publique différente doit être utilisée pour vérifier la signature. Auth0 utilise la spécification JSON Web Key (JWK) pour représenter les clés cryptographiques utilisées pour signer les jetons RS256. Cette spécification définit deux structures de données de haut niveau : JSON Web Key (JWK) et JSON Web Key Set (JWKS). Voici les définitions tirées de la spécification :

Élément	Description
JSON Web Key (JWK)	Un objet JSON qui représente une clé cryptographique. Les membres de l’objet représentent les propriétés de la clé, y compris sa valeur.
JSON Web Key Set (JWKS)	Un objet JSON qui représente un ensemble de JWK. L’objet JSON DOIT comporter un membre `keys`, qui est un tableau de JWK.

Auth0 expose un point de terminaison JWKS pour chaque locataire, à l’adresse https://{yourDomain}/.well-known/jwks.json. Ce point de terminaison contient le JWK utilisé pour vérifier tous les JWT émis par Auth0 pour ce locataire.

À l’heure actuelle, Auth0 signe avec un seul JWK à la fois; toutefois, il est important de supposer que ce point de terminaison pourrait contenir plusieurs JWK. Par exemple, plusieurs clés peuvent se trouver dans le JWKS lors de la rotation des clés de signature d’application.

En savoir plus

Valider les JSON Web Tokens

Propriétés de l’ensemble de clés Web JSON

​En savoir plus

En savoir plus