À la fin de ce mois d’avril 2018 sortira la version 1.1.0 du projet web-token/jwt-framework ainsi que tous ses composants (voir le précédent article).
Cela marque aussi la création d’une nouvelle branche : la v1.2.
Cette nouvelle branche sera l’occasion d’ajouter un nouveau composant : web-token/jwt-experimental. Elle contiendra toutes les fonctionnalités jugées intéressantes, mais considérée comme non-stables du fait de l’absence de spécification ou de leur statut de brouillon.
Parmi les premières fonctionnalités expérimentales, on retrouvera essentiellement de nouveaux algorithmes issus de spécifications annexes dont voici une liste non-exhaustive :
- Pour la signature :
- HS1 : il ne s’agit ni plus, ni moins que de la fonction de hashage SHA-1. Celle-ci est considérée comme non-sûre et cet algorithme ne doit être utilisé que dans le cas où une compatibilité avec des anciens systèmes est requis.
- HS256/64 : identique à HS256, mais la signature est tronquée à 64 bits.
- Pour le chiffrement :
- RSA-OAEP-384 et RSA-OAEP-512 : vous connaissez déjà RSA-OAEP et RSA-OAEP-256. Ces algorithmes viennent compléter la gamme.
- ChaCha20-Poly1305 : tout le monde ne parle que de ce couple depuis des mois.
- A128CTR, A192CTR et A256CTR : à considérer avec précaution, car ces algorithmes sont à risque. Pour assurer la compatibilité avec d’anciens systèmes seulement.
- A128CBC, A192CBC et A256CBC : à ne pas confondre avec A256CBC-HS512 par exemple. À risque aussi donc seulement pour assurer la compatibilité avec d’anciens systèmes seulement
En aucun cas ces fonctionnalités ne devront être utilisées en production. Si vous utilisez la Debug Toolbar de Symfony, des messages vous alerteront le cas échéant.