Authentification/autorisation: le cookie et ses rejetons Clement Delafargue Geoffroy Couprie Depuis l'essor des architectures microservices, l'auth a bien évolué. Au cookie de session se sont ajoutés tout un tas de tokens et de topologies (délégation d'accès avec oauth, tokens stateless avec JWT, atténuation avec les macarons…). Nous vous proposons un tour d'horizon des principales architectures que l'on retrouve dans le domaine de l'authentification et de l'autorisation, avec un focus particulier sur les architectures distribuées. Dans ce cadre, nous vous présenterons les biscuits, une plateforme pour l'autorisation basée sur un jeton permettant la délégation atténuée et un langage de gestion de droits basés sur la programmation logique. Clément et Geoffroy ont travaillé ensemble sur les architectures distribuées chez Clever Cloud, notamment via la mise en place de macarons. Ils contribuent tous les deux au projet biscuit, basé sur leur expérience avec JWT et macarons. Geoffroy travaille désormais chez Apollo GraphQL, où il travaille sur la fédération d'APIs. Clément travaille chez bellroy, qu'il a rejoint après fretlink, où il a mis en place toute la platforme d'autorisation basée sur les macarons. Après cette présentation vous aurez une vision plus claire : des grands types d'architecture d'autorisation des types de jetons d'auth courants, ainsi que leurs domaines d'application de la modélisation de règles d'accès dans un langage dédié de l'atténuation offline et des perspectives qu'elle ouvre dans les architectures distribuées