Sorti de leur contexte, ça ne veut rien dire Un cookie est un biscuit et un token est un jeton (de caddie?).

Dans le monde du web, un cookie, c'est un fichier qui va stocker des informations à la demande d'un site web.

Un token - littéralement jeton - est généralement employé dans les systèmes de session ou de sécurisation des systèmes informatique, qui a souvent une durée de validité spécifiée et qui donne accès à un certain nombre de fonctionnalité. Par exemple : Un token de session web est juste une chaine alphanumérique qu'un site web peut placer dans un cookie pour pouvoir tracer un internaute navigant sur ledit site web afin d'identifier qui il est dans le système lors du changement de page.

Si on devrait choisir un méthode, les deux permette de stocke des informations concernant l'utilisateur la quelle choisir ? quelle serais son avantage ? dans quelle cas utiliser l'autre methode ?

J'ai lu que pour une api il était préférable d'utiliser un token a cause du stateless, pouvait vous m'en dire plus ?

Mais c'est pas comparable surtout. Y'en a pas un meilleur que l'autre.

Un cookie, c'est un fichier...

Un token, c'est un nom donné à quelque chose qui est souvent à durée limité dans le temps et relatif à la sécurisation des SI.

Autre exemple : Un token pourrait être transmis dans l'URL. C'est souvent cette technique qui est recommandée d'ailleurs vu que de plus en plus, les cookies se retrouvent bloqués par le navigateur.

Merci @Nisnor je commence a comprendre

J'ai une autre petite question : Quelle est la différence entre le token généré après une authentification et un token jwt ?

De ce que j'ai compris :

Le premier est une sorte de clef, créer par le serveur d'authentification, qui permet savoir si un utilisateur est connecte ainsi que ses droits.
Et le deuxieme par contre c'est une sorte de hash de json qui sera separé en 3 parties ( XXXX.XXXX.XXX) un header (a quoi sert il ?), le playload (la ou on stocke les données), et la signature (de clef de déchiffrage)

Notamment quand et comment est ce qu'on utilise un token JWT ?
Peut on y stocker mdp et autre info sensible ?

-
Edité par ndms 10 décembre 2015 à 17:32:06

Aucune idée concernant le token JWT.

Concernant un token d'authentification, c'est juste une technique de sécurisation élémentaire qui répond à la problématique de la sécurité des transferts de données critique.

Exemple d'un système non-sécurisé : Ton application demande à l'utilisateur de saisir Login & MdP, qui seront ensuite stockés en mémoire vive et envoyés systématiquement à chaque requête vers ton site web pour identifier l'internaute. Il suffit qu'un petit malware scrute la mémoire vive du poste de l'internaute ou qu'un pirate aie mis en place un proxy (attaque man-in-the-middle) enregistrant tous les flux réseaux passant en direction d'un serveur donné et hop!! Les identifiants utilisateurs se retrouvent dans la nature. Même si tu mets en place une connexion chiffrée, un pirate pourrait mettre en place un proxy chiffré "authentique" lui aussi...donc le HTTPS n'est même pas une solution...Ou encore, même si ton site communique par un lien HTTPS, il suffira d'une ressource accédée en clair via une requête un peu mal ficelée et le chiffrement SSL tombe complètement à l'eau.

Exemple d'un système un peu plus sécurisé : Ton application demande à l'utilisateur de saisir Login & MdP pour s'authentifier. Lorsqu'il soumet le formulaire, ton serveur va l'identifier et lui retourner un jeton d'authentification que l'utilisateur devra renvoyer à chaque requête. Les attaques citées ci-dessus auront déjà un impacte moindre. Un malware ne pourrait capturer le texte en clair qu'au début du processus d'identification...Et un attaquant ne pourrait récupérer ces identifiants que lorsque l'utilisateur soumet le formulaire d'authentification. Par la suite, il se retrouverait juste avec le token en question...Dans tous les cas, la capture du couple Login/MdP peut se faire dans une fenêtre beaucoup plus réduite que précédemment. A ça, tu rajoutes un délai d'expiration du token et même l'exploitation d'un token volé se retrouverait limité.

Encore merci @Nisnor pour ces exemples claire qui m'aide beaucoup

Si quelqu’un pourrais m'expliquer l’utilité d'un token jwt et je pourrais marquer ce sujet comme resolu

JWT c'est juste un standard d'utilisation des tokens. Ca te permet d'échanger des données avec une api de manière sécurisé (clé publique/privée etc).

Le plus simple est de lire l'introduction du site jwt.io. C'est très bien expliqué.