Chiffrement et signature des échanges #
Tous les échanges de jetons JWT entre le FI et FC sont signés.
Sur FranceConnect, #
les tokens sont signés avec HS256 par le FI.
La réponse à l'appel /userinfo
peut être un JSON simple ou un JWT signé avec HS256 par le FI.
Il n'y a pas de chiffrement sur FranceConnect.
Sur FranceConnect+, #
Tous les échanges de jetons JWT entre le FI et FC sont signés et chiffrés en utilisant les algorithmes décrits ci-dessous.
Signature de jetons par le FI sur FC+ #
-
Asymétrique :
- ES256 (EC + SHA256)
- RS256 (RSA + SHA256)
Chiffrement de jetons (jwe+jws) sur FC+ #
-
Hybride :
- RSA-OEAP + AES256-GCM
- RSA-OEAP-256 + AES256-GCM
- ECDH-ES + AES256-GCM
Les spécifications des algorithmes de signature et de chiffrement utilisés sont les suivantes :
- JWA - https://tools.ietf.org/html/rfc7518
- JWS - https://tools.ietf.org/html/rfc7515#appendix-A.3
- JWE - https://tools.ietf.org/html/rfc7516#appendix-A.1
Les clés publiques de chiffrement de FranceConnect sont changées régulièrement et sont disponibles à l'adresse suivante :
Environnement | adresses du endpoint |
---|---|
intégration FC+ | https://auth.integ01.dev-franceconnect.fr/api/v2/client/.well-known/keys |
production FC+ | https://auth.franceconnect.gouv.fr/api/v2/client/.well-known/keys |
les clés de signature utilisées par le Fournisseur d'Identité doivent être disponible via la JWKS URL présente dans les méta-data de la Discovery URL .