DEVOXX France

Programme 2023
Geoffroy Couprie

Geoffroy Couprie

Unhandled Expression

Geoffroy Couprie est consultant indépendant. Spécialiste en sécurité logicielle, il travaille à rendre le code plus sûr, et les outils cryptographiques plus utilisables. Il étudie plus particulièrement la sécurité des protocoles d'authentification et d'échange de messages.

Twitter : @gcouprie

Blog: http://unhandledexpression.com

archisec

Track : Architecture, Performance and Security

Type de présentation : Conference

Auth et systèmes distribués: ne jetons pas le bébé avec l'eau du bain

Clément DELAFARGUE Clément DELAFARGUE

Depuis l'essor des architectures microservices, l'auth a bien évolué. Les solutions basées sur un serveur d'authorisation central sont certes simples à mettre en place, mais rendent les systèmes moins résilients. Si le serveur d'auth tombe, l'ensemble de la plateforme tombe. De l'autre côté du spectre, des systèmes à base de jetons au porteur (comme JWT) permettent de s'affranchir des contraintes d'un système centralisé. En revanche, de tels systèmes sont notoirement complexes à mettre en place et nécessitent une bonne dose d'expérience pour éviter les erreurs.

Dans cette conférence nous vous présenterons:

  • comment choisir entre un système d'auth centralisé et un système distribué
  • un tour d'horizon des solutions possibles pour les jetons au porteur;
  • les différentes architectures d'auth possibles (passerelle d'auth, intégration directe, …);
  • les éléments indispensables à mettre en place dans un tel système (rafraichissement des tokens, révocation, rotation des clés, …);
  • la plateforme biscuit, construite autours de ces use cases.