AM
FR
Commencer gratuitement
Menu
Fonctionnalités

Intégration backend

Vérification de jetons via JWKS et découverte OIDC pour vos services backend.

backend jwt jwks verification oidc

Intégration backend

AM expose des clés publiques via JWKS et la configuration via la découverte OIDC, des protocoles standards utilisables par n’importe quelle bibliothèque JWT.

Vérifiez les jetons localement, faites confiance aux claims et autorisez les requêtes.

Flux de vérification des jetons

AMVotre backendClientAMVotre backendClientGET /.well-known/jwks.json (cached)Clés publiquesRequête + jeton BearerVérifier la signature JWT localementCheck exp, aud, scopeRéponse

Endpoints

EndpointBut
/.well-known/jwks.jsonClés de signature publiques
/.well-known/openid-configurationDocument de découverte OIDC
/oauth2/introspectIntrospection des refresh tokens

JWKS

Récupérez les clés publiques pour une vérification locale :

GET /.well-known/jwks.json
{
  "keys": [
    {
      "kty": "RSA",
      "use": "sig",
      "kid": "key_...",
      "alg": "RS256",
      "n": "0vx7agoebG...",
      "e": "AQAB"
    }
  ]
}

Plusieurs clés peuvent être présentes pendant une rotation. Faites la correspondance via le claim kid de l’en-tête JWT.

Découverte OIDC

Auto-configurez les clients avec le document de découverte :

GET /.well-known/openid-configuration

Retourne les endpoints, les algorithmes pris en charge et les capacités selon la spécification OpenID Connect Discovery.

Claims JWT

Les jetons vérifiés contiennent :

ClaimDescription
issURL de l’émetteur
subSujet (ID utilisateur ou ID client)
audAudience visée
expExpiration (timestamp Unix)
iatDate d’émission (timestamp Unix)
scopePermissions accordées
cidID client
appID application
accID du compte courant
uidID utilisateur (si utilisateur authentifié)
roleRôle dans le compte courant

Caching

  • Mettez en cache les réponses JWKS (utilisez ETag/If-None-Match)
  • Rafraîchissez en cas d’échec de vérification de signature (rotation de clé)
  • TTL typique : 1 heure

Introspection de jeton

Pour les refresh tokens ou quand vous avez besoin d’une validation autoritative :

POST /oauth2/introspect
Content-Type: application/x-www-form-urlencoded

token=...&client_id=...&client_secret=...

Retourne active: true/false et les claims du jeton. Les access tokens sont des JWT et doivent être vérifiés localement via JWKS quand c’est possible.

Liés

Précédent
E-mail

E-mail transactionnel avec domaines personnalisés, signature DKIM, templates et suivi de délivrabilité.

Suivant
OAuth

Serveur d'autorisation OAuth 2.0 et OpenID Connect pour des intégrations tierces sécurisées.