Ensembles de clés Web JSON
L’ensemble de clés Web JSON (JWKS) est un ensemble de clés contenant les clés publiques utilisées pour vérifier toute clé cryptographique Jeton Web JSON (JWT) émise par Serveur d’autorisations : et signée à l’aide de l’algorithme de signature RS256.
Lors de la création d’applications et d’API dans Auth0, deux algorithmes sont pris en charge pour la signature des JWT : RS256 et HS256. RS256 génère une signature asymétrique, ce qui signifie qu’une clé privée doit être utilisée pour signer le JWT et qu’une clé publique différente doit être utilisée pour vérifier la signature.
Auth0 utilise la spécification JSON Web Key (JWK) pour représenter les clés cryptographiques utilisées pour signer les jetons RS256. Cette spécification définit deux structures de données de haut niveau : JSON Web Key/JWK (Clé web JSON) et JSON Web Key Set/JWKS (Ensemble de clés web JSON). Voici les définitions de la spécification :
| Élément. | Description |
|---|---|
| Clé Web JSON (JWK) | Un objet JSON qui représente une clé cryptographique. Les membres de l’objet représentent les propriétés de la clé, y compris sa valeur. |
| Ensemble de clés Web JSON (JWKS) | Un objet JSON qui représente un ensemble de JWKs. L’objet JSON DOIT avoir un membre clés, qui est un tableau de JWC. |
Auth0 expose un point de terminaison JWKS pour chaque locataire, lequel se trouve à https://{yourDomain}/.well-known/jwks.json. Ce point de terminaison contiendra le JWK utilisé pour vérifier tous les JWT émis par Auth0 pour ce locataire.
À l’heure actuelle, Auth0 n’utilise qu’une seule clé JWK à la fois, mais il est important de supposer que ce point de terminaison peut contenir plusieurs clés JWK. À titre d’exemple, plusieurs clés peuvent être trouvées dans le JWKS lors de la rotation des clés de connexion d’une application.