À quoi ça sert
Le mécanisme de sécurité sous-jacent du produit Login repose sur l’utilisation de jetons d’accès. À chaque inscription ou authentification utilisateur, le serveur Xsolla Login émet un jeton d’accès au format JSON Web Token (JWT). Ce jeton contient des informations utilisateur telles que l’ID. Le JWT est fourni comme un laissez-passer qui doit être présenté chaque fois que l’utilisateur accède à vos ressources.
Lorsque votre application reçoit un JWT, elle doit vérifier que c’est bien le serveur Xsolla Login qui l’a émis. À cette fin, le jeton comprend une signature numérique cryptée, générée à l’aide d’une clé secrète. L’utilisation d’une signature permet de vérifier l’identité de l’expéditeur du JWT et de s’assurer que le contenu du jeton n’a pas été altéré en cours de route. Ces jetons ont généralement une durée de validité de 24 heures.
La clé secrète pour la signature des jetons est automatiquement générée lorsque vous créez votre projet de connexion. Le produit Login prend en charge deux algorithmes de cryptage pour la signature des JWT. L’algorithme par défaut est HS256, mais vous pouvez également choisir l’algorithme RS256. Si nécessaire, vous pouvez réinitialiser la clé secrète et modifier la période de validité du jeton (voir la section signature JWT).
Pour renforcer la protection des données sensibles de vos utilisateurs, ajoutez des fonctions de sécurité supplémentaires à votre projet de connexion. Les fonctions de sécurité suivantes sont disponibles pour le produit Login :
- Connexion du protocole OAuth 2.0. OAuth 2.0 est un protocole d’autorisation qui vous permet d’obtenir des jetons d’accès à l’application de courte durée et de les renouveler sans intervention de l’utilisateur.
- Configuration du schéma d’authentification SSO (Single Sign-On). Le SSO permet à l’utilisateur de s’authentifier en toute sécurité auprès de plusieurs services connexes en fournissant ses données d’authentification une seule fois lors de la connexion à votre jeu.
- Utilisation de l’authentification multifacteur. L’authentification multifacteur (MFA) est une méthode d’authentification utilisateur qui nécessite plus d’un type de vérification. Elle permet d’empêcher les intrus d’accéder à un compte, même s’ils possèdent le nom d’utilisateur et le mot de passe.
Vous pouvez afficher ou modifier les paramètres de sécurité de votre projet de connexion dans la section Security.
Faute de frappe ou autre erreur dans le texte ? Sélectionnez le texte concerné et appuyez sur Ctrl+Entée.