Authentification par jetons (JWT) bien mise en œuvre : jetons courts, renouvellement automatique, signature forte, révocation, journal d'audit. OAuth2 pour l'intégration avec des services tiers, droits fins par ressource, et traçabilité complète.
Jeton d'accès 15 min, jeton de renouvellement 7 jours remplacé à chaque usage, stockage sécurisé dans un cookie non accessible au JavaScript, protection contre les usages détournés.
Clé privée côté serveur API seulement, clé publique distribuable aux consommateurs. Pas de secret partagé. Rotation possible sans coupure.
Protocole standard OAuth2 pour les intégrations tierces (se connecter avec Google, Microsoft, ou votre propre serveur), permissions demandées à l'utilisateur.
Rôles (ADMIN, UTILISATEUR) + permissions précises (lire produit, modifier produit) + règles métier par ressource (« ce commercial voit sa zone seulement »).
Liste de révocation en cache mémoire rapide. Une révocation d'utilisateur coupe tous ses accès en moins d'une seconde.
Chaque action enregistrée : utilisateur, adresse IP, endpoint, horodatage, résultat. Export CSV, durée de conservation paramétrable.
final class ProductVoter extends Voter
{
public const VIEW = 'product:view';
public const EDIT = 'product:edit';
protected function supports(string $attribute, mixed $subject): bool
{
return in_array($attribute, [self::VIEW, self::EDIT], true)
&& $subject instanceof Product;
}
protected function voteOnAttribute(string $attribute, mixed $subject, TokenInterface $token): bool
{
$user = $token->getUser();
if (!$user instanceof User) {
return false;
}
return match ($attribute) {
self::VIEW => $subject->getTenant() === $user->getTenant(),
self::EDIT => $user->hasPermission('product:write')
&& $subject->getTenant() === $user->getTenant(),
};
}
}Une règle d'accès métier centralise la décision « qui a le droit de faire quoi ». Le jeton apporte l'identité ; la permission se décide ici.
Jetons JWT + renouvellement + rôles classiques. Pour une API interne ou un SaaS B2B standard.
Tout du simple + permissions fines, règles métier, journal d'audit, API d'administration.
Serveur OAuth2 complet pour devenir fournisseur d'identité : connexion utilisateur, accès machine à machine, permissions fines, portail client.
Tarifs sur devis après cadrage · forfait ou régie selon le format
SaaS en hébergement HDS (Hébergeur de Données de Santé). Authentification par jetons avec signature forte, droits fins à 4 niveaux, journal d'audit exportable pour la CNIL, révocation instantanée en cas d'incident.
Cookie sécurisé, non accessible au JavaScript, envoyé uniquement en HTTPS, limité au domaine de confiance par défaut. Le stockage navigateur classique est vulnérable aux attaques ; le cookie sécurisé ne l'est pas. Pour une API mobile, stockage sécurisé natif (Keychain iOS, Keystore Android).
Accès 15 min, renouvellement 7 jours. Compromis entre sécurité (court = moins d'impact en cas de fuite) et confort (pas de reconnexion incessante). Ajustable selon votre contexte.
Signature forte (clé privée serveur seulement) toujours pour une API publique ou distribuée. Signature partagée acceptable pour un monolithe où la clé ne sort pas. La signature forte permet de distribuer la clé publique sans risque.
Les jetons étant auto-portants, la seule façon est une liste de révocation en cache rapide avec durée de vie égale à la durée restante du jeton. Sur révocation d'un utilisateur, on invalide son jeton de renouvellement, ce qui coupe les accès futurs sous 15 min.
Oui : protocole SAML 2.0 via OneLogin, Okta, Azure AD. Pour les clients B2B, c'est souvent demandé. Déjà intégré sur plusieurs projets.
Journal d'audit horodaté de chaque action, conservation paramétrable (12 mois en standard), export CSV pour les demandes d'accès RGPD, suppression possible sur demande (droit à l'oubli).
Un appel, pas un formulaire de 12 champs. Vous m'expliquez votre besoin, je vous dis honnêtement si je suis la bonne personne, on repart avec une prochaine étape claire.