<a href="https://colab.research.google.com/github/adriansanchezroy/SecWebsite/blob/main/11_S%C3%A9curit%C3%A9_d'un_site_Web.ipynb" target="_parent"><img src="https://colab.research.google.com/assets/colab-badge.svg" alt="Open In Colab"/></a>

# Configuration
-------------------

Les cellules de cette section doivent être exécutées avant le reste du document. Si vous êtes déconnecté de l'engin d'exécution par Google Colab, il vous faudra exécuter cette section de nouveau.

Le code de cette section a pour fin :

* Customiser la commande `%%javascript` pour permettre que le code fourni soit exécuté côté conteneur Colab.

* Installer MongoDB et Mongo Shell et mettre à jour la version de Node.js du conteneur Colab.

In [None]:
"""
Le code de cette cellule ira installer les extensions,
les logiciels necéssaires et mettre à jour la version de Node.js
utilisée par Colab.
"""
directories = (
    'cuisine', 'cors', 'csrf', 'csp', 'jwt'
    )

for dir in directories:
  !mkdir -p /content/$dir

!pip3 install classroom-extensions
%load_ext classroom_extensions.node_install
%load_ext classroom_extensions.mongodb_install

%install_nodejs
%install_mongodb

%load_ext classroom_extensions.web
%load_ext classroom_extensions.mongodb

# Modèle de sécurité du web
-----------------

Avant l'arrivée des applications riches côté-client en JavaScript et les applications/sites monopages, le modèle de sécurité du Web était simple. Il se résumait essentiellement à deux entités : le client et le serveur.

* Le **serveur** avait le pouvoir de décider qui était *digne de confiance* et qui ne l'était pas.
* Le rôle du **client** se limitait à empêcher le serveur d'accéder aux données locales de la machine, telles que le système de fichiers. De plus, il n'y avait aucune forme de partage de contenu entre différents serveurs.

Cependant, l'évolution des technologies a profondément transformé le paysage de la sécurité sur le web. **De nos jours, la sécurité d'un site web exige une vigilance constante dans tous les aspects de sa conception et de son utilisation.** Les applications web modernes sont devenues plus riches et complexes, intégrant des ressources et du code provenant de plusieurs domaines différents.

Ainsi, **le client d'une application web moderne obtient du contenu et des scripts en provenance de divers domaines**, autrement dit, de différents serveurs. Cela soulève des questions complexes quant à la gestion de l'accès aux ressources, et il n'est pas toujours évident de déterminer *qui devrait avoir accès à quoi*.

De plus, **les navigateurs modernes exposent une vaste gamme de ressources sensibles**, telles que des cookies et des jetons d'authentification, l'état du DOM, le dessin sur Canvas, le stockage local, les médias (qu'ils soient conventionnels ou cryptés), et même des APIs permettant l'accès contrôlé au système de fichiers, voire à des dossiers entiers (HTML5+).

Cette évolution technologique a donc complexifié le modèle de sécurité du web, nécessitant une approche plus réfléchie et des mécanismes de protection plus avancés pour garantir la sécurité des applications web modernes.

# Same-Origin Policy (SOP)
------

La *Same-Origin Policy*, également connue sous le nom de **politique de même origine**, est une fonction de sécurité des navigateurs web qui limite les interactions entre les documents et les scripts provenant d'une origine spécifique et les ressources situées sur une origine différente. Elle vise à empêcher la communication non autorisée entre domaines web distincts, assurant ainsi la confidentialité des utilisateurs et la protection contre les scripts malveillants. Cette politique est essentielle pour préserver l'intégrité et la sécurité du web en établissant des barrières virtuelles qui délimitent clairement les frontières de sécurité entre les origines.

## Définition d'une origine

Deux URLs ont la même origine si **le protocole, le port (si spécifié) et l'hôte sont les mêmes** pour les deux. Vous pouvez voir cela référencé comme le tuple **schéma/hôte/port**, ou simplement **tuple**.

Le tableau suivant donne des exemples de comparaisons d'origine avec l'URL **`http://store.company.com/dir/page.html`** :


| URL | Résultat | Raison |
|-----|----------|--------|
|`http://store.company.com/dir2/other.html` | Même origine | 	Seulement le chemin est différent |
| `http://store.company.com/dir/inner/another.html` |	Même origine |	Seulement le chemin est différent |
| `https://store.company.com/page.html` |	Échec | Le protocole est différent |
| `http://store.company.com:81/dir/page.html` | Échec |	Le port est différent  (`http://` utilise port 80 par défaut)|
| `http://news.company.com/dir/page.html` |	Échec | Hôte différent|


Les scripts exécutés à partir des pages avec une URL `about:blank` ou `javascript:`, souvent utilisés pour créer des *popups*, héritent de l'origine du document contenant l'URL.




## Ce qui est autorisé et ce qui est bloqué

La politique de même origine régit les interactions entre deux origines distinctes, notamment lors de l'utilisation de fonctionnalités telles que `XMLHttpRequest`, `fetch` ou l'élément `<img>`.

Ces interactions se répartissent généralement en trois catégories :

* Les écritures d'origine croisée sont généralement permises, comme les liens, les redirections et les soumissions de formulaires.

* L'intégration (*embedding*) d'origine croisée est généralement autorisée.

* Les lectures d'origine croisée sont généralement restreintes, mais l'accès en lecture peut souvent être divulgué par le biais de l'intégration.


En règle générale, l'intégration (*embedding*) de ressources d'origine croisée est autorisée, tandis que l'accès en lecture à de telles ressources est bloqué.

* **iframes** : L'intégration d'éléments `iframe` est généralement autorisée (sous réserve de la directive `X-Frame-Options`), cependant, la lecture d'origine croisée, telle que l'utilisation de JavaScript pour accéder à un document dans un `iframe`, est interdite.

* **CSS** : Les feuilles de style CSS d'origine croisée peuvent être intégrées à l'aide d'éléments `<link>` ou de la règle `@import` dans un fichier CSS, bien que le bon entête `Content-Type` puisse être requis.

* **formulaires** : Les URL d'origine croisée peuvent être utilisées en tant que valeur de l'attribut `action` des éléments de formulaire.

* **images** : L'intégration d'images d'origine croisée est autorisée, tandis que la lecture d'images d'origine croisée est interdite. Quelques exceptions avec [les images CORS](https://developer.mozilla.org/fr/docs/Web/HTML/CORS_enabled_image).

* **multimédia** : La vidéo et l'audio d'origine croisée peuvent être intégrés à l'aide des éléments `<video>` et `<audio>`.

* **scripts** : Les scripts d'origine croisée sont acceptés, bien que l'accès à certaines API puisse être restreint.

### Exemples

1. Une page Web sur le domaine **`exemple.com`** inclut cet `iframe` :
```html
<iframe id="ifexemple" src="https://autredomaine.com/unepage.html" alt="iframe d'exemple"></iframe>
```
Le code JavaScript de la page Web contient ces instructions pour obtenir le contenu textuel d'un élément de la page intégrée :
```javascript
const iframe = document.getElementById('ifexemple');
const message = iframe.contentDocument.getElementById('message').innerText;
```
L'accès sera refusé car l'`iframe` n'est pas sur la même origine que la page Web hôte.

2. Une page Web sur le domaine **`exemple.com`** inclut ce formulaire :
```html
<form action="https://autredomaine.com/requete.html">
  <label for="courriel">Saisissez votre e-mail :</label>
  <input type="email" name="courriel" id="courriel" required>
  <button type="submit">S'abonner</button>
</form>
```
L'accès sera autorisé car les données de formulaire peuvent être écrites dans une URL d'origine croisée spécifiée comme `action` d'un formulaire.

3. Une page Web sur le domaine **`exemple.com`** inclut inclut cet `iframe` :
```html
<iframe src="https://autredomaine.com/unepage.html" alt="iframe d'exemple"></iframe>
```
Habituellement les intégrations `iframe` d'origine croisée sont autorisées tant que le propriétaire de l'origine n'a pas défini l'en-tête HTTP [X-Frame-Options](https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/X-Frame-Options) sur `deny` ou `sameorigin` (plus de détails sur comment les désactiver dans la section sur Helmet).

# Cross-Origin Resource Sharing (CORS)
---------------

[Le partage de ressources d'origine croisée (CORS)](https://developer.mozilla.org/fr/docs/Web/HTTP/CORS) permet aux serveurs de transmettre des en-têtes HTTP qui sont utilisés par le navigateur pour déterminer si le code JavaScript d'une application frontale peut accéder aux réponses des requêtes d'origine croisée.   

CORS donne aux serveurs web la possibilité de contourner certains aspects de la politique SOP et de dire qu'ils veulent autoriser l'accès multi-origine à leurs ressources.

Selon la spécification CORS les navigateurs doivent effectuer une requête préliminaire (pré-vol ou *preflight* en anglais) et demander au serveur les méthodes prises en charge via une requête `HTTP OPTIONS`, puis, après approbation du serveur, envoyer la vraie requête.

Les serveurs peuvent également indiquer aux clients s'il faut fournir des informations d'authentification avec les requêtes.

## Requêtes simples sans besoin d'une requête préliminaire

Certaines requêtes ne nécessitent pas de requête CORS de pré-vol. Ces requêtes, parfois appelées [requêtes *simples*](https://developer.mozilla.org/fr/docs/Web/HTTP/CORS), respectent les conditions suivantes :

* Utilise une des méthodes : `GET`, `HEAD`, `POST`.
* Les seuls en-têtes paramétrés manuellement sont:
  - `Accept`
  - `Accept-Language`
  - `Content-Language`
  - `Content-Type` - Les seules valeurs autorisées sont :
    * `application/x-www-form-urlencoded`
    * `multipart/form-data`
    * `text/plain`

### Exemple:

1. Un onglet de navigateur ouvert sur <strong><font color='red'>`https://www.exemple.com`</font></strong> lance une requête AJAX/fetch <strong><font color='red'>`GET https://api.exemple.com/films/`</font></strong>

2. En plus d'ajouter des en-têtes comme `Host`, le navigateur ajoute automatiquement l'en-tête <strong><font color='red'>`Origin`</font></strong> pour les requêtes d'origine croisée :
```
GET /films/ HTTP/1.1
Host: api.exemple.com
Origin: https://www.exemple.com
[Le reste de la requête...]
```

3. Le serveur vérifie l'en-tête <strong><font color='red'>`Origin`</font></strong>. Si la valeur d'<strong><font color='red'>`Origin`</font></strong> est autorisée, le serveur configure l'en-tête <strong><font color='red'>`Access-Control-Allow-Origin`</font></strong> de la réponse avec la valeur de l'en-tête <strong><font color='red'>`Origin`</font></strong> de la requête.
```
HTTP/1.1 200 OK  
Access-Control-Allow-Origin: https://www.exemple.com
Content-Type: application/json
[Le reste de la réponse...]
```
4. Lorsque le navigateur reçoit la réponse, il vérifie si la valeur de l'en-tête <strong><font color='red'>`Access-Control-Allow-Origin`</font></strong> correspond à l'origine de l'onglet ou à l'opérateur générique <strong><font color='red'>`*`</font></strong>. Sinon, la réponse est bloquée.



## Requêtes nécessitant une requête préliminaire (pré-vol)

Les requêtes préliminaires (pré-vol ou *preflight* en anglais) envoient d'abord une requête HTTP avec la méthode `OPTIONS` vers la ressource de l'autre domaine afin de déterminer quelle requête peut être envoyée de façon sécurisée.

[Cet article de la communauté de développement de Mozilla](https://developer.mozilla.org/fr/docs/Web/HTTP/CORS#requ%C3%AAtes_n%C3%A9cessitant_une_requ%C3%AAte_pr%C3%A9liminaire) décrit les types de requêtes qui demandent une requête préliminaire:

* Généralement, les requêtes qui utilisent les méthodes `PUT`, `DELETE`, `CONNECT`, `OPTIONS`, `TRACE` et `PATCH` ont besoin d'une requête *preflight* pour vérifier si l'accès peut être assuré.
  
* Si une requête `POST` est utilisée pour envoyer des données de requête avec un type de contenu autre qu'`application/x-www-form-urlencoded`, `multipart/form-data` ou `text/plain`, (par ex. XML ou JSON), elle a besoin d'une requête preliminaire. C'est le cas aussi si la requête définit des en-têtes personnalisés (par ex., un en-tête tel que `X-MON-ENTETE`).

### Exemple:

1. Un onglet de navigateur ouvert sur <strong><font color='red'>`https://www.exemple.com`</font></strong> lance une requête AJAX/fetch `POST` à <strong><font color='red'>`https://api.exemple.com/films/.`</font></strong> Le contenu de la requête est un JSON, et dans ce cas il faut envoyer une requête préliminaire. Le navigateur envoie d'abord une requête <strong><font color='red'>`OPTIONS`</font></strong> avec la méthode de la requête principale et les en-têtes utilisés:
```
OPTIONS /films/ HTTP/1.1
Host: api.exemple.com
Origin: https://www.exemple.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Authorization, Content-Type
[Le reste de la requête...]
```

2. La réponse du serveur indique quelles méthodes et en-têtes sont autorisées. Si le navigateur envoie une méthode qui ne se trouve pas dans la liste, la requête sera refusée.
```
HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://www.exemple.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: Authorization, Content-Type
Content-Type: application/json
[Le reste de la réponse...]  
```

3. Comme la méthode et les en-têtes sont dans les listes des méthodes et des en-têtes acceptés par le serveur, le navigateur envoie la requête <strong><font color='red'>`POST`</font></strong>.
```
POST /films/ HTTP/1.1
Host: api.exemple.com
Authorization: 1234567
Content-Type: application/json
Origin: https://www.exemple.com
[Le reste de la requête...]
```

4. Comme l'en-tête <strong><font color='red'>`Access-Control-Allow-Origin`</font></strong> de la réponse correspond à l'origine de la requête, l'échange est finalisé et le contrôle passe au code qui a démarré la requête.
```
HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://www.exemple.com
Content-Type: application/json
[Le reste de la réponse...]  
```

## CORS sur Express

Le module [cors](https://www.npmjs.com/package/cors) est un intergiciel (*middleware*) qui permet d'activer la gestion des requêtes CORS sur des cadriciels comme Express ou [Connect](https://github.com/senchalabs/connect), avec la possibilité de configurer plusieurs options.

Pour commencer, nous allons mettre en place un projet Node.js et procéder à l'installation des modules requis pour les exemples à venir.

In [None]:
""" Pour changer le dossier de travail de Colab. """
%cd /content/cors

/content/cors


In [None]:
%%writefile package.json
{
  "name": "cors",
  "version": "1.0.0",
  "description": "Exemples d'utilisation de CORS",
  "author": "Marcos Dias de Assuncao",
  "license": "MIT",
  "dependencies": {
    "cors": "^2.8.5",
    "express": "^4.18.2"
  }
}

Writing package.json


Pour installer les dépendances:

In [None]:
!npm install

[K[?25h
added 64 packages, and audited 65 packages in 4s

11 packages are looking for funding
  run `npm fund` for details

found [32m[1m0[22m[39m vulnerabilities
[37;40mnpm[0m [0m[36;40mnotice[0m[35m[0m 
[0m[37;40mnpm[0m [0m[36;40mnotice[0m[35m[0m New [32mpatch[39m version of npm available! [31m10.2.3[39m -> [32m10.2.4[39m
[0m[37;40mnpm[0m [0m[36;40mnotice[0m[35m[0m Changelog: [36mhttps://github.com/npm/cli/releases/tag/v10.2.4[39m
[0m[37;40mnpm[0m [0m[36;40mnotice[0m[35m[0m Run [32mnpm install -g npm@10.2.4[39m to update!
[0m[37;40mnpm[0m [0m[36;40mnotice[0m[35m[0m 
[0m

L'exemple ci-dessous illustre comment activer CORS pour toutes les origines et l'ensemble des routes:

In [None]:
%%javascript --target=node --filename=all_routes.mjs --port=3000

import express from 'express';
import cors from 'cors';

const app = express();
const port = process.env.NODE_PORT || 3000;

app.use(cors());

app.get('/dishes/:id', function (req, res, next) {
    res.json({msg: 'CORS est activé pour toutes les origines'});
});

app.listen(port, function () {
    console.log(`Serveur compatible CORS écoutant le port ${port}...`);
});

Serveur compatible CORS écoutant le port 3000...


La réponse du serveur contiendra l'en-tête **`Access-Control-Allow-Origin: *`**

In [None]:
!curl -s -I http://localhost:3000/dishes/2

HTTP/1.1 200 OK
[1mX-Powered-By[0m: Express
[1mAccess-Control-Allow-Origin[0m: *
[1mContent-Type[0m: application/json; charset=utf-8
[1mContent-Length[0m: 51
[1mETag[0m: W/"33-3qcBtQcnMr2t/IfDINVdp/7twb0"
[1mDate[0m: Wed, 29 Nov 2023 23:55:55 GMT
[1mConnection[0m: keep-alive
[1mKeep-Alive[0m: timeout=5



Pour activer CORS pour une route :

In [None]:
%%javascript --target=node --filename=single_route.mjs --port=3000

import express from 'express';
import cors from 'cors';

const app = express();
const port = process.env.NODE_PORT || 3000;

app.get('/dishes/:id', cors(), function (req, res, next) {
    res.json({msg: 'CORS est activé pour une seule route'});
});

app.listen(port, function () {
    console.log(`Serveur compatible CORS écoutant le port ${port}...`);
});

Serveur compatible CORS écoutant le port 3000...


Il est également possible de configurer les paramètres de CORS :

In [None]:
%%javascript --target=node --filename=cors_config.mjs --port=3000

import express from 'express';
import cors from 'cors';

const app = express();
const port = process.env.NODE_PORT || 3000;

const corsOptions = {
    origin: 'https://exemple.com'
}

app.get('/dishes/:id', cors(corsOptions), function (req, res, next) {
    res.json({msg: 'CORS est activé seulement pour exemple.com'});
});

app.listen(port, function () {
    console.log(`Serveur compatible CORS écoutant sur le port ${port}...`);
});

Serveur compatible CORS écoutant sur le port 3000...


La réponse du serveur contiendra l'en-tête **`Access-Control-Allow-Origin: http://exemple.com`**

In [None]:
!curl -s -I http://localhost:3000/dishes/2

HTTP/1.1 200 OK
[1mX-Powered-By[0m: Express
[1mAccess-Control-Allow-Origin[0m: https://exemple.com
[1mVary[0m: Origin
[1mContent-Type[0m: application/json; charset=utf-8
[1mContent-Length[0m: 53
[1mETag[0m: W/"35-axyEL5w7gqNipWgpI5hZTx/JNVE"
[1mDate[0m: Wed, 29 Nov 2023 23:57:45 GMT
[1mConnection[0m: keep-alive
[1mKeep-Alive[0m: timeout=5



Pour les requêtes complexes, il est possible d'activer la méthode `OPTIONS` pour les requêtes de type *preflight*. Pour mettre en place ce contrôle préalable, vous devez ajouter un gestionnaire `OPTIONS` dédié à la route que vous souhaitez prendre en charge :

In [None]:
%%javascript --target=node --filename=pre_flight.mjs --port=3000

import express from 'express';
import cors from 'cors';

const app = express();
const port = process.env.NODE_PORT || 3000;

const corsOptions = {
    origin: 'https://exemple.com',
    methods: ['GET', 'PUT', 'DELETE', 'OPTIONS']
}

app.options('/dishes/:id', cors(corsOptions)); // activer la requête de pré-vol pour DELETE

app.delete('/dishes/:id', cors(corsOptions), function (req, res, next) {
    res.json({msg: 'CORS est activé pour toutes les origines'});
});

app.listen(port, function () {
    console.log(`Serveur compatible CORS écoutant le port ${port}...`);
});

Serveur compatible CORS écoutant le port 3000...


In [None]:
!curl -s -X OPTIONS -I http://localhost:3000/dishes/2

HTTP/1.1 204 No Content
[1mX-Powered-By[0m: Express
[1mAccess-Control-Allow-Origin[0m: https://exemple.com
[1mVary[0m: Origin, Access-Control-Request-Headers
[1mAccess-Control-Allow-Methods[0m: GET,PUT,DELETE,OPTIONS
[1mContent-Length[0m: 0
[1mDate[0m: Wed, 29 Nov 2023 23:58:47 GMT
[1mConnection[0m: keep-alive
[1mKeep-Alive[0m: timeout=5



# Menaces visant la sécurité des sites web
------

Il existe [diverses vulnérabilités](https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html) que les attaquants peuvent exploiter pour contourner la politique SOP. Cette section a pour objectif de recenser quelques menaces courantes qui ciblent les sites web et de vous expliquer comment elles peuvent être maîtrisées.

## Cross-Site Scripting (XSS)

[L'attaque XSS, ou Cross-Site Scripting](](https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html)), désigne une classe d'attaques qui permet à un attaquant d'injecter des scripts côté client à travers un site web afin de cibler le navigateur web. Cette technique vise à persuader le navigateur d'exécuter un script avec les permissions du domaine cible. Étant donné que le navigateur considère ce code comme étant sûr, il peut entraîner des actions telles que la transmission des cookies d'authentification de l'utilisateur à l'attaquant.

Il existe deux principales méthodes pour amener un site web à renvoyer un script injecté (les vulnérabilités XSS **réfléchies** et **persistantes**).

* Les **réfléchies** (ou non persistantes) : elles disparaissent après le rechargement de la page.

* Les **persistantes** : elles demeurent actives même après le rechargement de la page.

### Ataque XSS réflechie

Les attaques XSS réfléchies se produisent généralement lorsque le code côté serveur accepte une chaîne de requête ou un formulaire soumis par l'utilisateur, puis renvoie cette chaîne au client sous forme d'une nouvelle page ou d'une réponse AJAX sans effectuer une validation préalable.

Ce comportement ouvre la porte à l'injection de code JavaScript malveillant dans la chaîne de requête ou dans un champ de formulaire, même s'il est masqué.

Le script renvoyé au client s'exécute avec les autorisations du domaine cible, ce qui lui permet d'accéder aux ressources de ce domaine.

* Il peut notamment compromettre les données locales, tels que les cookies d'authentification, ou accéder à n'importe quel élément du Document Object Model (DOM) pour les transmettre à l'attaquant.

* Le script peut également initier des requêtes AJAX vers le domaine cible, permettant ainsi d'effectuer des transactions à l'insu de l'utilisateur.

#### Exemple d'une attaque XSS réfléchie

Prenons l'exemple d'une page web dotée d'un champ de recherche qui transmet la chaîne de recherche spécifiée par l'utilisateur (`str`) au serveur en tant que paramètre de la requête `GET /recherche?motcle=str`.

* Le serveur effectue une recherche avec la chaîne et, en cas d'absence de correspondance, affiche `str non trouvé`.

* Aucune vérification ni nettoyage de la chaîne `str` ne sont effectués par le serveur.

* Un utilisateur malveillant prépare une requête vers une URL contenant du code JavaScript en tant que paramètre `str`, par exemple :

  - `/recherche?motcle=<script>/*code_malicieux*/</script>`
  - `/recherche?motcle=bière<script%20src="http://sitedangereux.com/malicieux.js"></script>`

* L'utilisateur malveillant peut partager l'URL sous forme de lien avec d'autres utilisateurs du site, par exemple, via Facebook.

* Les utilisateurs qui ouvrent le lien visitent le site et exécutent le code JavaScript malveillant injecté dans leur navigateur, avec l'accès autorisé au domaine cible conformément à la politique SOP.


### Attaque XSS persistante

Dans une attaque persistante, la chaîne d'attaque est stockée sur le serveur de manière à ce que tout accès ultérieur au site, que ce soit par le même utilisateur ou un autre, déclenche automatiquement l'attaque.

* Ce type d'attaque peut avoir un impact bien plus dévastateur que les attaques réfléchies.

* Il peut survenir, par exemple, lorsque le serveur ne valide pas les *inputs* soumis par l'utilisateur avant de les stocker dans une base de données.

#### Exemple d'une attaque XSS persistante

Considérez un site web doté d'un champ de formulaire qui permet aux utilisateurs de laisser des commentaires.

* Ces commentaires sont affichés à l'ensemble des utilisateurs du site.

* On suppose que le serveur ne nettoie en aucune manière le texte soumis par l'utilisateur avant de le stocker dans la base de données.

* Un utilisateur malveillant peut laisser un commentaire contenant du code JavaScript malicieux, qui sera stocké dans la base de données et transmis à tous les utilisateurs du site.

* Le code s'exécute avec le contexte du serveur visé à chaque visite de la page par un utilisateur.

### Méthodes de mitigation des attaques XSS

* Pour éviter les attaques persistantes, il est essentiel de traiter les données saisies par l'utilisateur de manière à empêcher l'exécution de scripts et les perturbations du fonctionnement normal du site (ce que l'on appelle **input sanitization** en anglais). De nombreux frameworks intègrent cette vérification des entrées des formulaires et nettoyent les données soumises par les utilisateurs:

  * [express-validator](https://express-validator.github.io/docs/)
  * [validator](https://github.com/validatorjs/validator.js#sanitizers)
  * [DOMPurify](https://github.com/cure53/DOMPurify)

* Désactiver l'entête `X-XSS-Protection`, initialement proposé pour éviter des attaques XSS, mais qui a posé [des problèmes](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection).

  * Ces protections sont largement inutiles dans les navigateurs modernes lorsque les sites mettent en œuvre une [politique de sécurité de contenu](https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Content-Security-Policy) solide qui désactive l'utilisation de JavaScript en ligne (*unsafe-inline*).

* La mise en place d'une politique de sécurité de contenu ([*Content Security Policy*](https://developers.google.com/web/fundamentals/security/csp)) permet aux serveurs de définir les origines autorisées pour le contenu chargé par le navigateur.

### Politique de sécurité des contenus (CSP) avec Express

Pour mettre en place une politique de sécurité des contenus dans une application Express, désactivant ainsi l'utilisation de JavaScript en ligne (`unsafe-inline`), vous pouvez recourir a l'intergiciel [Helmet](https://helmetjs.github.io/) avec l'option `contentSecurityPolicy`. Voici un exemple illustrant la démarche :


In [None]:
""" Pour changer le dossier de travail de Colab. """
%cd /content/csp

/content/csp


Le fichier de project:

In [None]:
%%writefile package.json
{
  "name": "helmet",
  "version": "1.0.0",
  "description": "Exemple de politique de contenu",
  "main": "index.mjs",
  "scripts": {
    "dev": "nodemon index.mjs"
  },
  "keywords": [
    "CSP",
    "Helmet",
    "XSS"
  ],
  "author": "Marcos Dias de Assuncao",
  "license": "MIT",
  "dependencies": {
    "express": "^4.18.2",
    "helmet": "^7.0.0"
  }
}

Writing package.json


Pour installer les dependences :

In [None]:
!npm install

[K[?25h
added 63 packages, and audited 64 packages in 2s

11 packages are looking for funding
  run `npm fund` for details

found [32m[1m0[22m[39m vulnerabilities


L'exemple avec Express :

In [None]:
%%javascript --target=node --filename=index.mjs --port=3000

import express from 'express';
import helmet from "helmet";

const app = express();
const port = process.env.NODE_PORT || 3000;

// Directive pour désactiver 'unsafe-inline'.
app.use(
    helmet.contentSecurityPolicy({
        directives: {
            defaultSrc: ["'self'"],     // La source par défaut pour les autres directives.
            scriptSrc: ["'self'"],      // Pour éviter les scripts en ligne.
        },
    })
);

app.get('/page', function (req, res, next) {
    res.send("Pas possible d'exécuter des scripts externes...");
});

app.listen(port, function () {
    console.log(`Serveur écoutant le port ${port}...`);
});

Serveur écoutant le port 3000...


In [None]:
!curl -I http://localhost:3000/page

HTTP/1.1 200 OK
[1mX-Powered-By[0m: Express
[1mContent-Security-Policy[0m: default-src 'self';script-src 'self';base-uri 'self';font-src 'self' https: data:;form-action 'self';frame-ancestors 'self';img-src 'self' data:;object-src 'none';script-src-attr 'none';style-src 'self' https: 'unsafe-inline';upgrade-insecure-requests
[1mContent-Type[0m: text/html; charset=utf-8
[1mContent-Length[0m: 48
[1mETag[0m: W/"30-bgh/IHkO97foDPrhOFYYG5cUjGM"
[1mDate[0m: Thu, 30 Nov 2023 00:12:05 GMT
[1mConnection[0m: keep-alive
[1mKeep-Alive[0m: timeout=5



## Injection SQL

L'injection SQL permet à un attaquant d'exécuter du code SQL frauduleux sur une base de données, permettant l'accès, la modification ou la suppression des données.

  <img src="https://imgs.xkcd.com/comics/exploits_of_a_mom.png">

### Exemple d'attaque d'injection SQL

Le code ci-dessous devrait lister l'ensemble des utilisateurs avec un nom particulier (*username*) qui provient d'un formulaire HTML:

```javascript
statement = "SELECT * FROM users WHERE name = '" + username + "';"
```

Mais vu que le contenu de la variable `username` n'est pas nettoyé, un utilisateur mal intentionné peut changer le sens de cette requête SQL pour obtenir la requête qui suit pour supprimer la table `users` et sélectionner toutes les données de la table `userinfo`:

```sql
SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't';
```
Les cadriciels et les logiciels pilotes des bases de données se chargent souvent de traiter les données saisies et de les nettoyer.

```javascript
const statement = "SELECT * FROM users WHERE name = ?";
```

## Falsification de Requête Intersites (CSRF)

Une attaque de falsification de requête intersites (en anglais *Cross-Site Request Forgery* ou CSRF) survient lorsqu'un attaquant tente de manipuler un utilisateur pour qu'il effectue une requête malveillante ou avantageuse pour l'attaquant.

### Exemple d'Attaque CSRF

Considérons le cas d'un utilisateur malveillant qui sait qu'un site particulier permet aux utilisateurs authentifiés d'envoyer de l'argent vers un compte en utilisant des requêtes `HTTP POST` qui incluent le numéro de compte et le montant.

* L'utilisateur malveillant crée un formulaire contenant son numéro de compte et un montant dans des champs cachés, puis le transmet à un autre utilisateur du site en dissimulant le bouton de validation.

* Si un utilisateur clique sur le bouton de validation, une requête `HTTP POST` contenant les informations de la transaction est envoyée au serveur, ainsi que le cookie associé au site par le navigateur web.

* Le serveur vérifie le cookie d'authentification et autorise la transaction.

### Méthodes de mitigation des attaques CSRF

Une approche possible consiste à rendre les URLs difficiles à deviner et/ou attacher un jeton aléatoire ou spécifique au client (*CSRF token*).

* Si le schéma d'URL ou la clé "unique" sont diffusés, la soumission du formulaire ne fonctionnera plus.

* La clé spécifique au client devrait être rafraîchie périodiquement, et être encryptée (par exemple, via HMAC).

* Pas une solution à toutes épreuves.

Une autre approche complémentaire consiste à déployer la validation en deux ou trois étapes pour certaines transactions, avec un code envoyé par courriel, par SMS ou via une application d'authentification.

### Pour en savoir plus

* Lisez l'aide mémoire de OWASP sur la [prevention des attaques CSRF]( https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html)

* Lisez l'aide mémoire de OWASP sur la [création de secrets](https://cheatsheetseries.owasp.org/cheatsheets/Secrets_Management_Cheat_Sheet.html)

* Lisez sur les problèmes de sécurité du module [csurf](https://www.veracode.com/blog/research/analysis-and-remediation-guidance-csrf-vulnerability-csurf-expressjs-middleware)


## Exemple CSRF avec Express

L'exemple de cette section démontre comment utiliser le module  [csrf-csrf](https://www.npmjs.com/package/csrf-csrf) pour gérer des jetons pour des applications sans états et éviter les attaques CSRF. Cette bibliothèque implemente le patron [Double Submit Cookie Pattern](https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html#double-submit-cookie)

Cette technique consiste à envoyer une valeur aléatoire à la fois dans un cookie et en tant que paramètre de requête. D'abord le site génère une valeur pseudo-aléatoire (cryptographiquement forte) et la définit comme un cookie sur la machine de l'utilisateur distinct de l'identifiant de session. Le site exige alors que chaque demande de transaction inclut la valeur pseudo-aléatoire dans un entête de requête. Le serveur vérifie si la valeur du cookie et la valeur de la requête correspondent.

Des bibliothèques qui implémentent le modèle [Synchronizer Token Pattern](https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html#synchronizer-token-pattern), telles que [csrf-sync](https://github.com/Psifi-Solutions/csrf-sync), sont utiles pour les applications avec de l'état.

In [None]:
"""
Pour changer le dossier de travail de
Colab et créer et les dossiers necessaires.
"""
%cd /content/csrf
!mkdir -p public

/content/csrf


Pour créer le fichier de projet, installer les dependences :

In [None]:
%%writefile package.json
{
  "name": "crsf",
  "version": "1.0.0",
  "description": "Exemple d'usage de CSRF sur Express",
  "main": "index.mjs",
  "scripts": {
    "start": "node index.mjs",
    "dev": "NODE_ENV=development nodemon index.mjs"
  },
  "keywords": ["CSRF", "Express"],
  "author": "Marcos Dias de Assuncao",
  "license": "MIT",
  "dependencies": {
    "cookie-parser": "^1.4.6",
    "csrf-csrf": "^3.0.1",
    "dotenv": "^16.3.1",
    "express": "^4.18.2",
    "response-format": "^1.2.0"
  },
  "devDependencies": {
    "nodemon": "^3.0.1"
  }
}

Writing package.json


In [None]:
!npm install

[K[?25h
added 100 packages, and audited 101 packages in 5s

15 packages are looking for funding
  run `npm fund` for details

found [32m[1m0[22m[39m vulnerabilities


Nous allons stocker certaines variables dans un fichier `.env` et les charger en mémoire à l'aide du module `dotenv`. Nous utilisons des chaînes simples à titre d'exemples pour les secrets. En environnement de production, il est essentiel d'utiliser un générateur pour créer des chaînes plus robustes.

In [None]:
%%writefile .env
CSRF_SECRET=gti525-super-csrf-secret
COOKIES_SECRET=gti525-super-secret
CSRF_COOKIE_NAME=x-csrf-token

Writing .env


In [None]:
%%javascript --target=node --filename=index.mjs --port=3000

import dotenv from "dotenv";
import express from "express";
import cookieParser from "cookie-parser";
import { doubleCsrf } from "csrf-csrf";
import Format from "response-format";

const PORT = process.env.NODE_PORT || 3000;

const result = dotenv.config()
if (result.error) {
    console.error("Erreur de lecture du fichier .env", result.error);
    process.exit(-1);
}

const app = express();
app.use(express.json());
app.use(express.static('public'));

// Le cookie CSRF aura une durée d'un jour
const oneDay = 1000 * 60 * 60 * 24;

app.use(cookieParser(process.env.COOKIES_SECRET));

// Ces paramètres sont destinés au développement.
// Assurez-vous d'utiliser cors et csp en production.
const {
    invalidCsrfTokenError,
    generateToken,
    doubleCsrfProtection } =
    doubleCsrf({
        getSecret: (req) => req.secret,
        secret: process.env.CSRF_SECRET,
        cookieName: process.env.CSRF_COOKIE_NAME,
        cookieOptions: { maxAge: oneDay, sameSite: "Strict", secure: true, signed: true },
        size: 64,
        ignoredMethods: ["GET", "HEAD", "OPTIONS"],
    });

// Traitement des erreurs, interception des erreurs de validation
const csrfErrorHandler = (error, req, res, next) => {
    if (error === invalidCsrfTokenError) {
        res.status(403).json(Format.unAuthorized("Erreur de validation CSRF"));
    } else {
        next();
    }
};

app.get("/csrf-token", (req, res) => {
    const csrfToken = generateToken(req, res);
    return res.json(Format.success("ok", { token: csrfToken }));
});

app.use(doubleCsrfProtection);

app.post(
    "/login",
    (req, res) => {
        console.log(req.body);
        res.json(Format.success("Formulaire soumis avec succès"));
    }
);

app.listen(PORT, () => console.log(`Le serveur écoute sur le port ${PORT}`));

Le serveur écoute sur le port 3000


Nous allons ensuite créer un exemple de formulaire HTML de login avec du code Javascript qui obtiendra un jeton CSRF et l'enverra comme paramètre d'en-tête de la requête se soumission du formulaire:  

In [None]:
%%writefile public/index.html
<!DOCTYPE html>
<html lang="fr">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>Se loguer</title>
    <style>
    @import url("https://cdnjs.cloudflare.com/ajax/libs/materialize/1.0.0/css/materialize.min.css");
    @import url("https://fonts.googleapis.com/icon?family=Material+Icons");

    .prompt_box {
      max-width: 450px;
      margin: 50px auto;
      padding: 25px;
      border: 2px solid #e6e6e6;
      border-radius: 10px;
    }

    #toast-container {
      top: auto !important;
      bottom: 5%;
      right: 50%;
      transform: translateX(50%) translateY(50%);
    }
    </style>
    <script src="https://cdnjs.cloudflare.com/ajax/libs/materialize/1.0.0/js/materialize.min.js"></script>
</head>
<body>
<div class="prompt_box">
    <h3 class="center-align">Se loguer</h3>
    <div class="row">
        <form id="user_form" action="/login" method="post">
            <div class="row">
                <div class="input-field col s12">
                    <input id="email" type="email" name="email" class="validate" required>
                    <label for="email">Adresse courriel</label>
                </div>
            </div>
            <div class="row">
                <div class="input-field col s12">
                    <input id="password" name="password" type="password" class="validate" required>
                    <label for="password">Mot de passe</label>
                </div>
            </div>
            <div class="row center-align">
                <button class="btn waves-effect waves-light" type="submit">Soumettre</button>
            </div>
        </form>
    </div>
    <section id="message_section" class="hide">
        <div id="api_message" class="#ffe0b2 orange lighten-4 center-align"><p>Message</p></div>
    </section>
</div>
</body>
<script>

    async function handleFetch(url, requestInfo={}) {
        const response = await fetch(url, requestInfo);
        if (!response.ok) {
            throw new Error(`Erreur dans la requête: ${response.statusText}`);
        }
        const json = await response.json();
        if (json.statusCode === 200) {
            return json;
        } else {
            throw new Error(`Erreur dans la réponse: ${json.message}`);
        }
    }

    async function handleSubmit(event) {
        event.preventDefault();
        const form = event.currentTarget;
        const url = form.getAttribute("action");
        const plainFormData = Object.fromEntries(new FormData(form).entries());
        const jsonString = JSON.stringify(plainFormData);

        try {
            let json = await handleFetch("csrf-token");
            const { token } = json.data;

            const fetchOptions = {
                method: "POST",
                // mode: "cors",
                headers: {
                    'Content-Type': "application/json",
                    'Accept': "application/json",
                    "x-csrf-token": token,   // commentez cette ligne pour générer une erreur.
                },
                body: jsonString,
            };

            json = await handleFetch(url, fetchOptions);
            M.toast({ html: json.message });
        } catch (error) {
            M.toast({ html: error.message });
        }
    }

    window.addEventListener('DOMContentLoaded', () => {
        M.AutoInit();
        const userForm = document.getElementById("user_form");
        userForm.addEventListener('submit', handleSubmit);
    });

</script>
</html>

Writing public/index.html


# L'intergiciel Helmet
-----------------

Le module [Helmet](https://helmetjs.github.io/) vise à aider les développeurs à sécuriser leurs applications Express en définissant de divers en-têtes HTTP. Helmet est un intergiciel de niveau supérieur qui fonctionne comme un *wrapper* autour de 15 intergiciels plus petits. Ce n'est pas une solution miracle, mais facilite plusieurs tâches et fournit quelques fonctionnalités qui aident à minimiser les attaques décrites ci-dessus.

Les cellules ci-dessous montrent comme importer Helmet, et aussi quelques politiques de sécurité/filtres qui peuvent être appliqués aux applications web que vous développez. Pour installer helmet :

In [None]:
!npm install helmet

[K[?25h
added 1 package, and audited 102 packages in 1s

15 packages are looking for funding
  run `npm fund` for details

found [32m[1m0[22m[39m vulnerabilities


In [None]:
%%javascript --target=node --filename=helmet.mjs --port=3000

import express from 'express';
import helmet from "helmet";

const app = express();
const port = process.env.NODE_PORT || 3000;

app.use(helmet());

app.get('/dishes/:id', function (req, res, next) {
  res.json({msg: 'Toutes les fonctionnalités Helmet activées'});
})

app.listen(port, function () {
  console.log(`Serveur écoutant sur le port ${port}...`);
})

Serveur écoutant sur le port 3000...


Si on émet une requête à l'API, on remarque que Helmet a ajouté plusieurs en-têtes HTTP, par exemple `X-Frame-Options: SAMEORIGIN` pour éviter des attaques de type [Clickjacking](https://en.wikipedia.org/wiki/Clickjacking).

In [None]:
!curl -s -I http://localhost:3000/dishes/1

HTTP/1.1 200 OK
[1mContent-Security-Policy[0m: default-src 'self';base-uri 'self';font-src 'self' https: data:;form-action 'self';frame-ancestors 'self';img-src 'self' data:;object-src 'none';script-src 'self';script-src-attr 'none';style-src 'self' https: 'unsafe-inline';upgrade-insecure-requests
[1mCross-Origin-Opener-Policy[0m: same-origin
[1mCross-Origin-Resource-Policy[0m: same-origin
[1mOrigin-Agent-Cluster[0m: ?1
[1mReferrer-Policy[0m: no-referrer
[1mStrict-Transport-Security[0m: max-age=15552000; includeSubDomains
[1mX-Content-Type-Options[0m: nosniff
[1mX-DNS-Prefetch-Control[0m: off
[1mX-Download-Options[0m: noopen
[1mX-Frame-Options[0m: SAMEORIGIN
[1mX-Permitted-Cross-Domain-Policies[0m: none
[1mX-XSS-Protection[0m: 0
[1mContent-Type[0m: application/json; charset=utf-8
[1mContent-Length[0m: 54
[1mETag[0m: W/"36-Pog6djENJXQslEvwjnPiNegDq74"
[1mDate[0m: Thu, 30 Nov 2023 00:53:16 GMT
[1mConnection[0m: keep-alive
[1mKeep-Alive

Il est possible de spécifier les sous-modules que vous voulez appliquer:

```javascript
app.use(helmet.contentSecurityPolicy());
app.use(helmet.crossOriginEmbedderPolicy());
app.use(helmet.crossOriginOpenerPolicy());
app.use(helmet.crossOriginResourcePolicy());
app.use(helmet.dnsPrefetchControl());
app.use(helmet.expectCt());
app.use(helmet.frameguard());
app.use(helmet.hidePoweredBy());
app.use(helmet.hsts());
app.use(helmet.ieNoOpen());
app.use(helmet.noSniff());
app.use(helmet.originAgentCluster());
app.use(helmet.permittedCrossDomainPolicies());
app.use(helmet.referrerPolicy());
app.use(helmet.xssFilter());
```

Il est possible aussi de paramétrer un module spécifique:

```javascript
app.use(
  helmet({
    referrerPolicy: { policy: "no-referrer" },
  })
);
```

Ou de désactiver un module:

```javascript
app.use(
  helmet({
    contentSecurityPolicy: false,
  })
);

```

# Authentification et autorisation
--------------

L'authentification et l'autorisation sont deux fonctions fondamentalement distinctes. L'authentification vérifie l'identité de l'utilisateur, tandis que l'autorisation contrôle les ressources auxquelles cet utilisateur a accès.

Dans notre mise à jour de l'API REST "Cuisine", nous allons utiliser les [JSON Web Tokens (JWT)](https://jwt.io/introduction) pour authentifier les utilisateurs. Les JWT sont couramment employés pour l'authentification dans les APIs REST, tandis qu'[OAuth 2](https://oauth.net/2/) est principalement conçu pour gérer l'autorisation dans les applications web. Il est toutefois important de noter que, lorsqu'il est utilisé en conjonction avec [OpenID Connect (OIDC)](https://openid.net/foundation/), OAuth 2 peut également être utilisé à des fins d'authentification.

<!--
* Dans cette section nous allons ajouter les fonctionnalités d'authentification et d'autorisation à notre projet cuisine étudié lors de deux derniers cours.
Le but de cet exemple est de fournir quelques notions de base sur [Mogoose](https://mongoosejs.com/), l'authentification par mot de passe, et l'autorisation via jetons JSON.

* À l'aide de [Passport](https://www.passportjs.org/) l'application de ce cahier fournit deux modes d'authentification :
  * **Utilisateur et mot de passe:** utilisé par l'application frontale.
  * **[JSON Web Tokens](https://jwt.io/introduction):** utilisé par l'API qui fournit des informations sur les plats disponibles.

* Lors de l'authentification par nom d'utilisateur et mot de passe, l'application crée un jeton qui est estoqué par l'application frontale et utilisé pour accéder à l'API qui fournit les informations des plats. -->

## JSON Web Tokens

Les JSON Web Tokens, communément appelés JWT, sont un moyen sécurisé de transmettre des informations entre deux parties sous forme d'objets JSON. Un JWT est composé de trois parties : l'entête, la charge utile (*payload*), et la signature.

* L'**entête** contient des informations sur le type de token et l'algorithme de hachage utilisé pour la signature.

* La **charge utile** contient des données telles que l'identité de l'utilisateur.

* La **signature** garantit l'intégrité des données et permet de vérifier que le token n'a pas été altéré en cours de route.

Dans le contexte des API REST, un utilisateur se connecte avec ses identifiants, puis le serveur génère un JWT et le renvoie. Le client stocke ce JWT et l'envoie avec chaque requête ultérieure dans un entête d'autorisation. Le serveur peut alors vérifier le JWT pour s'assurer que l'utilisateur est authentifié. Cela permet une authentification sans état, ce qui est idéal pour les API REST.

In [None]:
""" Pour changer le dossier de travail de Colab. """
%cd /content/jwt

/content/jwt


### Exemple d'utilisation de JWT sur Express

L'exemple de cette section, qui utilise Express et JWT, illustre un mécanisme de base pour authentifier les utilisateurs et sécuriser des routes dans une application Express. Nous utilisons la bibliothèque `jsonwebtoken` pour générer et vérifier des tokens JWT, permettant ainsi l'authentification. Les données de l'utilisateur, qui seraient normalement stockées dans une base de données, sont simulées ici avec des mots de passe hashés à l'aide de `bcrypt`. L'utilisation de `bcrypt` garantit que les mots de passe restent sécurisés.

L'application Express contient deux routes principales.

* **`api/login`** permet aux utilisateurs de se connecter en fournissant un nom d'utilisateur et un mot de passe. Si les informations de connexion sont correctes, un token JWT est généré et renvoyé à l'utilisateur.

* **`api/secure`** est protégée par le gestionnaire (ou *middleware*) `authenticateJWT`, qui vérifie la validité du token JWT inclus dans l'en-tête de la requête. Si le token est valide, l'utilisateur est autorisé à accéder à cette route.

Pour créer le fichier de description du projet et installer les dépendences :

In [None]:
%%writefile package.json
{
  "name": "jwt",
  "version": "1.0.0",
  "description": "Exemple d'utilisation de JWT pour l'authentification",
  "main": "index.mjs",
  "keywords": [
    "JWT",
    "authentification",
    "Express",
    "REST"
  ],
  "author": "Marcos Dias de Assuncao",
  "license": "MIT",
  "dependencies": {
    "bcrypt": "^5.1.1",
    "dotenv": "^16.3.1",
    "express": "^4.18.2",
    "jsonwebtoken": "^9.0.2"
  }
}

Writing package.json


In [None]:
!npm install

[K[?25h
added 136 packages, and audited 137 packages in 7s

15 packages are looking for funding
  run `npm fund` for details

found [32m[1m0[22m[39m vulnerabilities


Pour créer le fichier `.env`:

In [None]:
%%writefile .env
JWT_KEY=gti525-jwt-key

Writing .env


L'exemple d'application Express :

In [None]:
%%javascript --target=node --filename=index.mjs --port=3000

import express from 'express';
import dotenv from 'dotenv';
import { default as jwt } from 'jsonwebtoken';
import bcrypt from "bcrypt";

const app = express();
const PORT = process.env.NODE_PORT || 3000;
app.use(express.json());

dotenv.config();
const secretKey = process.env.JWT_KEY;

/*
Quelques données d'utilisateurs.
Dans un vrai système, les informations sont stockées par une base
de données ou par un système d'authentification. Nous allons quand
même chiffrer les mots de passe et utiliser leur hash pour démontrer
l'utilisation de bcrypt
*/
const users = new Map();
users.set("gti525", await bcrypt.hash('passw0rd', 10));
users.set("jwt", await bcrypt.hash('gti525', 10));

/*
Intergiciel/gestionnaire Express pour verifier le jeton JWT
et qu'il n'a pas été modifié.
 */
const authenticateJWT = async (req, res, next) => {
    const token = req.header('Authorization');

    if ( !token ) {
        return res.status(401).json({ message: "Erreur d'authentification" });
    }

    try {
        req.user = await jwt.verify(token, secretKey);
        next();
    } catch (error) {
        return res.status(403).json({ message: 'Interdit' });
    }
};

/*
Point de terminaison de l'API pour 'loguer' un utilisateur
et créer un jeton JWT à partir de son nom d'utilisateur
 */
app.post('/api/login', async (req, res) => {
    const { username, password } = req.body;

    const hash = users.get(username);
    const validPass = await bcrypt.compare(password, hash);

    if (!hash || !validPass) {
        return res.status(401).json({ message: "Erreur d'authentification" });
    }

    const accessToken = jwt.sign({ username: username }, secretKey);
    res.json({ accessToken });
});

// Exemple d'une route protégée
app.get('/api/secure', authenticateJWT, (req, res) => {
    res.json({ message: 'Cette route est sécuritaire !', user: req.user });
});

app.listen(PORT, () => {
    console.log(`Serveur écoutant sur le port ${PORT}`)
});

Serveur écoutant sur le port 3000


Pour "connecter" un utilisateur et générer un jeton :

In [None]:
!curl -s -X POST http://localhost:3000/api/login -H "Content-Type: application/json" --data '{"username": "gti525", "password": "passw0rd"}' | json_pp

{
   "accessToken" : "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imd0aTUyNSIsImlhdCI6MTcwMTMwNjQ2M30.pb_RskH5JvsEBqXtYYW5M8sJTUmgkoYyLgPAN0x4DWI"
}


Pour accéder à la route protégée :

In [None]:
!curl -I http://localhost:3000/api/secure

HTTP/1.1 401 Unauthorized
[1mX-Powered-By[0m: Express
[1mContent-Type[0m: application/json; charset=utf-8
[1mContent-Length[0m: 39
[1mETag[0m: W/"27-BV1Fe2saReZVap1J7b0QJgiNNbw"
[1mDate[0m: Thu, 30 Nov 2023 01:08:19 GMT
[1mConnection[0m: keep-alive
[1mKeep-Alive[0m: timeout=5



In [None]:
!curl http://localhost:3000/api/secure -H "Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imd0aTUyNSIsImlhdCI6MTcwMTMwNjQ2M30.pb_RskH5JvsEBqXtYYW5M8sJTUmgkoYyLgPAN0x4DWI"

{"message":"Cette route est sécuritaire !","user":{"username":"gti525","iat":1701306463}}

# L'Application Cuisine - Mise à jour
--------------

Cette section présente une version actualisée de l'API REST introduite dans les cours précédents. Cette nouvelle version utilise Mongoose en tant que modèle de documents (ODM) au lieu d'interagir avec MongoDB en utilisant son controleur défaut. De plus, cette version mise à jour de l'API mettra en œuvre certains aspects liés à la sécurité et présentés dans les sections antérieures du cahier.

Nous utilisons des clés d'API basées sur [JSON Web Tokens](https://jwt.io/introduction) pour accepter ou refuser l'accès aux ressources de l'API. Il y une application frontale qui permet d'enregistrer des utilisateurs, de se connecter et d'obtenir des jetons d'API.

In [None]:
"""Pour changer le dossier de travail de Colab"""
%cd /content/cuisine

/content/cuisine


## Structure du projet

Voici ci-dessous la liste des principaux dossiers du projet:

* `config` : Contient un module qui expose une connexion globale à la base de données via `mongoose`.

* `models` : Contient des modules qui déclarent des schémas et des modèles [Mongoose](https://mongoosejs.com/) pour les plats et les utilisateurs.

* `controllers` : dossier avec les modules contrôleurs Express pour les plats et les utilisateurs.

* `services` : Definition des intergiciels Express pour l'authentification à l'aide de Passport et pour la gestion des sessions.

* `routers` : Expose les routes de l'API pour les plats, les utilisateurs et les pages du site web.

* `views` : Des gabarits EJS pour les pages de login, inscription d'utilisateur et page principale.

* `static` : Des fichiers CSS et JavaScript utilisés par l'application frontale.

* `.env` : Fichier de configuration contenant plusieurs valeurs pour les variables d'environnement nécessaires pour le projet telles que pour la connexion à MongoDB, le secret utilisé pour signer les jetons d'authentification créés pour les utilisateurs, le secret pour le gestionnaire de sessions, etc.

## Cloner et configurer le projet

Pour éviter des longues cellules de code dans ce cahier, nous regarderons le contenu des quelques fichiers seulement, les plus pertinents aux aspects sécurité abordés dans ce cours. L'exemple complet est disponible sur  [l'entrepôt git du cours](https://github.com/assuncaomarcos/gti525-examples/tree/main/cours11-security/examples/cuisine).

In [None]:
%%bash
TMPDIR="/tmp/gti525$((RANDOM % 1000))"
EXAMPLE_DIR="cours11-security/examples/cuisine"

git clone https://github.com/assuncaomarcos/gti525-examples.git $TMPDIR
cp -r ${TMPDIR}/${EXAMPLE_DIR}/* ./
rm -rf $TMPDIR
npm install


added 221 packages, and audited 222 packages in 7s

22 packages are looking for funding
  run `npm fund` for details

found 0 vulnerabilities


Cloning into '/tmp/gti525688'...


Un exemple de fichier `.env` avec les variables d'environnement du projet :

In [None]:
%%writefile .env
MONGO_DATABASE=cuisine
MONGO_URI=mongodb://localhost:27017/${MONGO_DATABASE}
JWT_KEY=gti525-jwt-key
SESSION_SECRET=gti525-session-key
CSRF_SECRET=gti525-super-csrf-key
COOKIES_SECRET=gti525-super-key
CSRF_COOKIE_NAME=x-csrf-token

Writing .env


Nous allons également importer quelques données dans notre base MongoDB :

In [None]:
%%bash
mongoimport --drop --host localhost --port 27017 --db cuisine --collection dishes --file json/cuisine/dishes.json
mongoimport --drop --host localhost --port 27017 --db cuisine --collection users --file json/cuisine/users.json

2023-11-30T01:14:04.137+0000	connected to: mongodb://localhost:27017/
2023-11-30T01:14:04.138+0000	dropping: cuisine.dishes
2023-11-30T01:14:04.179+0000	4 document(s) imported successfully. 0 document(s) failed to import.
2023-11-30T01:14:04.197+0000	connected to: mongodb://localhost:27017/
2023-11-30T01:14:04.197+0000	dropping: cuisine.users
2023-11-30T01:14:04.227+0000	1 document(s) imported successfully. 0 document(s) failed to import.


Une fois le projet créé et les données d'exemple importées, nous avons ce qu'il nous faut pour étudier et exécuter les exemples.

## Les modèles `mongoose`

Le modèle pour les plats :

In [None]:
%%javascript --target=disk --filename=models/dishes.mjs

import mongoose from "mongoose";

const dishSchema = mongoose.Schema({
        name: {
            type: String,
            required: true
        },
        veg: {
            type: Boolean,
            required: true
        },
        photo: {
            type: String,
            required: true
        },
        ingredients: [
            {
                _id: false,
                item_id: {
                    type: Number,
                    required: true
                },
                name: {
                    type: String,
                    required: true
                },
                unit: {
                    type: String,
                    required: true
                },
                quantity: {
                    type: Number,
                    required: true
                }
            }
        ],
        directions: [
            {
                _id: false,
                step_id: {
                    type: Number,
                    required: true
                },
                description: {
                    type: String,
                    required: true
                }
            }
        ]
    },
    {
        statics: {
            async getIngredients(dishId) {
                const dish = await this.findById(dishId);
                return dish?.ingredients;
            },
            async getDirections(dishId) {
                const dish = await this.findById(dishId);
                return dish?.directions;
            },
        }
    });

export default mongoose.model('dishes', dishSchema);

Le modèle pour les utilisateurs :

In [None]:
%%javascript --target=disk --filename=models/users.mjs

import mongoose from "mongoose";
import bcrypt from "bcrypt";

const userSchema = new mongoose.Schema({
    firstname: {
        type: String,
        required: true
    },
    lastname: {
        type: String,
        required: true
    },
    email: {
        type: String,
        unique: true,
        required: true
    },
    password: {
        type: String,
        required: true
    },
    token: {
        type: String
    },
});

// Pour chiffrer le mot de passe avant de le stocker dans MongoDB
userSchema.pre(
    'save',
    async function(next) {
        const user = this;

        // ne hache le mot de passe sur la collection MongoDB
        // que s'il a été modifié par l'utilisateur,
        // ou s'il s'agit d'un nouvel utilisateur
        if (!user.isModified('password')) return next();

         // salt round (ou coût) = 10
        this.password = await bcrypt.hash(user.password, 10);
        next();
    }
);

// Méthode pour verifier si le mot de passe d'un utilisateur est valide
userSchema.methods.isPasswordValid = async function(password) {
    return await bcrypt.compare(password, this.password);
}

export default mongoose.model("users", userSchema);

## Les contrôleurs

Le fichier `controllers/dishes.js` ressemble au contrôleur implémenté lors du dernier cours pour gérer les requêtes faites pour lister, ajouter, modifier et supprimer des plats, à l'exception que la version actuelle utilise `mongoose` et que les routes sont protégées.

In [None]:
%%javascript --target=disk --filename=controllers/dishes.mjs

import model from '../models/dishes.mjs';
import Format from 'response-format';

class DishController {
    async allDishes(req, res) {
        try {
            const result = await model.find().select({ingredients: 0, directions: 0});
            if (result) {
                res.json(Format.success("OK", result));
            } else {
                res.status(404).json(Format.notFound("Il n'y a aucun plat."));
            }
        } catch (error) {
            res.status(505).json(Format.internalError(error.message));
        }
    }

    async dishById(req, res) {
        const dishId = req.params.dishId;
        try {
            const result = await model.findById(dishId);
            if (result) {
                res.json(Format.success("OK", result));
            } else {
                res.status(404).json(Format.notFound("Plat introuvable."));
            }
        } catch (error) {
            res.status(505).json(Format.internalError(error.message));
        }
    }

    async ingredients(req, res) {
        const dishId = req.params.dishId;
        try {
            const result = await model.getIngredients(dishId);
            if (result) {
                res.json(Format.success("OK", result));
            } else {
                res.status(404).json(Format.notFound("Plat ou ingrédients introuvables."));
            }
        } catch (error) {
            res.status(505).json(Format.internalError(error.message));
        }
    }

    async directions(req, res) {
        const dishId = req.params.dishId;
        try {
            const result = await model.getDirections(dishId);
            if (result) {
                res.json(Format.success("OK", result));
            } else {
                res.status(404).json(Format.notFound("Plat ou instructions introuvables."));
            }
        } catch (error) {
            res.status(505).json(Format.internalError(error.message));
        }
    }

    async addDish(req, res) {
        const dish = req.body;
        try {
            const result = await model.create(dish);
            if (result?._id) {
                res.json(Format.success("Plat ajouté/modifié", result?._id));
            } else {
                res.status(505).json(Format.internalError("Plat non ajouté/modifié."));
            }

        } catch (error) {
            res.status(505).json(Format.internalError(error.message));
        }
    }

    async updateDish(req, res) {
        const dish = req.body;
        const dishId = req?.params?.dishId;
        try {
            const result = await model.findByIdAndUpdate(dishId,{ $set : dish });
            if (result) {
                res.json(Format.success("Plat ajouté/modifié"));
            } else {
                res.status(505).json(Format.internalError("Plat non ajouté/modifié."));
            }
        } catch (error) {
            res.status(505).json(Format.internalError(error.message));
        }
    }
}

export default new DishController();

* Le contrôleur `controllers/users.js` implémente les fonctionnalités nécessaires pour enregistrer et connecter les utilisateurs.

In [None]:
%%javascript --target=disk --filename=controllers/users.mjs

import model from '../models/users.mjs';
import Format from 'response-format';

class UserController {

    async signUp(req, res) {
        try {
            const {firstname, lastname, email, password} = req.body;

            // Pour vérifier si tous les champs ont été remplis
            if (!(email && password && firstname && lastname)) {
                return res.json(Format.badRequest("Tous les champs doivent être remplis"));
            }

            // Vérifier si l'utilisateur existe dans la base de données
            const oldUser = await model.findOne({email: email});

            if (oldUser) {
                return res.json(Format.badRequest("Utilisateur existant. Veuillez vous connecter."));
            }

            // Créer l'utilisateur dans la base de données
            const user = await model.create({
                firstname,
                lastname,
                email: email.toLowerCase(),
                password
            });

            // retourner le nouvel utilisateur
            res.json(Format.success("OK", {id: user._id}));
        } catch (error) {
            res.json(Format.internalError(error.message));
        }
    }

    async login(req, res) {
        res.json(Format.success("OK", {token: req.user.token}));
    }
}

export default new UserController();

## Les strategies d'authentication Passport

[Passport](https://www.passportjs.org/) est utilisé pour deux objectifs essentiels :
- authentifier les utilisateurs et générer des jetons JSON, et
- authentifier les requêtes vers l'API REST en vérifiant la validité des jetons JSON.

Passport offre une gamme complète de paquets permettant d'authentifier les utilisateurs auprès de divers services, tels que Facebook, Twitter, Google, entre autres.

Il existe aussi d'autres solutions pour l'authentification des utilisateurs, comme [Grant](https://github.com/simov/grant) et [Keycloak](https://www.keycloak.org/).

In [None]:
%%javascript --target=disk --filename=services/passport.mjs

import passport from 'passport';
import {Strategy as LocalStrategy} from 'passport-local';
import {Strategy as JWTStrategy, ExtractJwt} from 'passport-jwt';
import {default as jwt} from 'jsonwebtoken';
import userModel from '../models/users.mjs';
import Format from 'response-format';

// Pour sérialiser un utilisateur dans la session
passport.serializeUser(function (user, done) {
    process.nextTick(function () {
        done(null, {id: user._id, firstname: user.firstname});
    });
});

// Pour desérialiser un utilisateur
passport.deserializeUser(function (user, done) {
    process.nextTick(function () {
        return done(null, user);
    });
});

// Stratégie d'authentification par nom d'utilisateur et mot de passe
passport.use(
    'password',
    new LocalStrategy({usernameField: 'email', passwordField: 'password'},
        async function (email, password, done) {
            try {
                const user = await userModel.findOne({email});
                if (!user) {
                    return done(null, false, {message: 'Utilisateur non trouvé'});
                }

                const validPass = await user.isPasswordValid(password);
                if (!validPass) {
                    return done(null, false, {message: 'Mauvais mot de passe'});
                }

                // Création du jeton JWT d'authentification auprès de l'API REST
                user.token = jwt.sign({id: user._id, email: user.email}, process.env.JWT_KEY, {expiresIn: "4h"}, null);
                user.save();

                return done(null, user, {message: 'Connecté avec succès'});
            } catch (error) {
                return done(error);
            }
        })
);

// Stratégie d'authentification par JWT
passport.use('jwt', new JWTStrategy({
            jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(), // Authorization: Bearer JWT...
            secretOrKey: process.env.JWT_KEY,
            ignoreExpiration: false
        },
        function (token, done) {
            /* On pourrait chercher l'utilisateur dans la base de données à nouveau,
             mais pour notre API, il suffit que le jeton soit valide */
            try {
                return done(null, {id: token.id, email: token.email});
            } catch (error) {
                done(error);
            }
        })
);

async function authenticatePassword(req, res, next) {
    return passport.authenticate(
        'password',
        {failureMessage: true, session: true},
        async (err, user, info) => {
            if (err) {
                return res.json(Format.internalError(err.message));
            }
            if (!user) {
                return res.json(Format.badRequest(info.message));
            }

            try {
                req.login(user, function (err) {
                    if (err) {
                        return next(err);
                    }
                    next();
                });
            } catch (error) {
                return res.json(Format.internalError(error.message));
            }
        }
    )(req, res, next);
}

async function authenticateJWT(req, res, next) {
    return passport.authenticate("jwt", {
        session: false // On ne veut pas utiliser des sessions pour l'API REST
    }, (err, user, info) => {
        if (err) {
            return res.status(505).json(Format.internalError(err.message));
        }
        if (!user) {
            return res.status(401).json(Format.unAuthorized("Requête non autorisée: " + info.message));
        }
        next();
    })(req, res, next);
}

export default {
    authenticateJWT,
    authenticatePassword,
    initialize: (...args) => { return passport.initialize(...args) },
    authenticate: (...args) => { return passport.authenticate(...args) }
};

## Les routeurs

Les routeurs ressemblent à ceux introduits lors des derniers cours. La différence est que certain routes seront protégées par l'authentification par mot de passe ou par des jetons JWT.  

In [None]:
%%javascript --target=disk --filename=routers/dishes.mjs

import { Router } from "express";
import cors from 'cors';
import dishController from "../controllers/dishes.mjs";
import passport from "../services/passport.mjs";

const router = Router();
router.use(passport.authenticateJWT);

router.route("/")
    .all(cors({methods: ['GET', 'HEAD', 'POST', 'OPTIONS']}))
    .get(dishController.allDishes)
    .post(dishController.addDish);

router.route("/:dishId")
    .all(cors({methods: ['GET', 'HEAD', 'PATCH', 'OPTIONS']}))
    .get(dishController.dishById)
    .patch(dishController.updateDish);

router.route("/:dishId/ingredients")
    .all(cors({methods: ['GET', 'HEAD', 'OPTIONS']}))
    .get(dishController.ingredients);

router.route("/:dishId/directions")
    .all(cors({methods: ['GET', 'HEAD', 'OPTIONS']}))
    .get(dishController.directions);

export default router;

Le fichier `routeurs/pages.js` déclare le routeur et les routes pour accéder à l'application frontale, utilisée pour enregistrer des utilisateurs, les loguer et afficher les informations de plats.

**Note:** La version ci-dessous n'utilise pas la validation `CSRF` parce qu'on veut tester l'authentification à l'aide de `curl`.

In [None]:
%%javascript --target=disk --filename=routers/site.js

import {Router} from 'express';
import dishModel from '../models/dishes.mjs';
import userController from '../controllers/users.mjs';
import passport from '../services/passport.mjs';

const router = Router();

const checkIfLogged = async(req, res, next) => {
    // Si req.user n'est pas configuré par passport, l'utilisateur n'est pas connecté
    if ( !req?.user ) {
        return res.redirect("/login");
    }
    next();
}

router.route("/")
    .get(checkIfLogged, async (req, res) => {
        res.redirect("/recipes");
    });

router.route("/recipes")
    .get(checkIfLogged, async (req, res) => {
        const dishes = await dishModel.find().select({ingredients: 0, directions: 0});
        return res.render('pages/recipes', {dishes: dishes});
    });

router.route("/recipe_detail")
    .get(checkIfLogged, async (req, res) => {
        const dishId = req.query.id;
        const dish = await dishModel.findById(dishId);
        res.render('pages/detail', {dish: dish});
    });

router.route("/login")
    .get(async (req, res) => {
        res.render("pages/login", { csrfToken: null });
    })
    .post(passport.authenticatePassword, userController.login);

router.route("/signup")
    .get(async (req, res) => {
        res.render("pages/signup", { csrfToken: null });
    })
    .post(userController.signUp);

router.route('/logout')
    .get(checkIfLogged, async (req, res) => {
        req.session.destroy(() => {
            req.logout(() => {
                res.redirect('/login');
            });
        });
    });

export default router;

## Le serveur

Et finalement le code qui démarre l'application dorsale :

In [None]:
%%javascript --target=node --filename=index.mjs --port=3000

import express from 'express';
import db from './config/db.mjs';
import dishRouter from './routers/dishes.mjs';
import pagesRouter from './routers/pages.mjs';
import session from './services/session.mjs';
import passport from './services/passport.mjs';

const app = express();
const PORT = process.env.NODE_PORT || 3000;
app.use(express.json());

app.use(session);

// Pour servir les pages Web d'exemple
app.set('view engine', 'ejs');
app.use(express.static('static'));
app.use("/api/dishes", dishRouter);
app.use(passport.authenticate('session'));
app.use(passport.initialize());
app.use("/", pagesRouter);

try {
    await db.connect();

    app.listen(PORT, () => {
        console.log(`Serveur écoutant sur le port ${PORT}`)
    });
} catch (error) {
    console.log("Erreur: " + error.message);
}

Serveur écoutant sur le port 3000


## Tester l'API

Maintenant l'API REST ne sera plus disponible sans un jeton/clé d'authentification:

In [None]:
!curl -s http://localhost:3000/api/dishes | json_pp

{
   "data" : null,
   "error" : true,
   "message" : "Requête non autorisée: No auth token",
   "statusCode" : 401
}


Pour inscrire l'utilisateur **Viviane Voclan**:

In [None]:
%%bash
curl -s -X POST http://localhost:3000/signup \
-H "Content-Type: application/json" \
--data '{
  "firstname": "Viviane",
  "lastname": "Voclan",
  "email": "viviane.voclan@exemple.com",
  "password": "gti525"
}' | json_pp

{
   "data" : {
      "id" : "6567e4f2090e529c30f92c4c"
   },
   "error" : false,
   "message" : "OK",
   "statusCode" : 200
}


Pour authentifier l'utilisateur **Viviane Voclan** et obtenir une clé pour accéder à l'API REST:

In [None]:
%%bash
curl -s -X POST http://localhost:3000/login \
-H "Content-Type: application/json" \
--data '{
  "email": "viviane.voclan@exemple.com",
  "password": "gti525"
}' | json_pp

{
   "data" : {
      "token" : "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjY1NjdlNGYyMDkwZTUyOWMzMGY5MmM0YyIsImVtYWlsIjoidml2aWFuZS52b2NsYW5AZXhlbXBsZS5jb20iLCJpYXQiOjE3MDEzMDc2NTksImV4cCI6MTcwMTMyMjA1OX0.Hy7U99jVptF7K8Um_TlLr8KPGepe62ikZ4xuHOHyEhk"
   },
   "error" : false,
   "message" : "OK",
   "statusCode" : 200
}


Pour lancer une requête avec le jeton d'authentification:

In [None]:
%%bash
curl -s -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjY1NjdlNGYyMDkwZTUyOWMzMGY5MmM0YyIsImVtYWlsIjoidml2aWFuZS52b2NsYW5AZXhlbXBsZS5jb20iLCJpYXQiOjE3MDEzMDc2NTksImV4cCI6MTcwMTMyMjA1OX0.Hy7U99jVptF7K8Um_TlLr8KPGepe62ikZ4xuHOHyEhk" \
http://localhost:3000/api/dishes/65440b2535f4bbc023b6e672 | json_pp

{
   "data" : {
      "_id" : "65440b2535f4bbc023b6e672",
      "directions" : [
         {
            "description" : "Pour réaliser le pesto, avec un mixeur ou un robot, mixez l'ail, les pignons, le parmesan râpé et le basilic jusqu’à obtention d'un mélange presque lisse.",
            "step_id" : 1
         },
         {
            "description" : "Versez progressivement l'huile d'olive en filet, en mixant, jusqu'à ce que le mélange ait épaissi.",
            "step_id" : 2
         },
         {
            "description" : "Faites cuire les pâtes dans une grande casserole d'eau bouillante, Égouttez-les et réservez 60 ml de l'eau de cuisson.",
            "step_id" : 3
         },
         {
            "description" : "Mélangez les spaghettis, le pesto et l'eau de cuisson réservée dans un grand saladier.",
            "step_id" : 4
         }
      ],
      "ingredients" : [
         {
            "item_id" : 1,
            "name" : "ail",
            "quantity" : 2,
            "

## Pour aller plus loin

Si vous utilisez un cadriciel comme React ou Angular vous pouvez utiliser une des plusieurs bibliothèques disponibles pour l'authentification:

* https://www.robinwieruch.de/react-libraries/#react-authentication
* https://learn.microsoft.com/en-us/azure/active-directory/develop/tutorial-v2-angular-auth-code
* https://openbase.com/categories/js/best-angular-authentication-libraries


## Activer HTTPS

* Pour créer un serveur HTTPS avec Node.js, il nous faut deux choses :

  - un certificat SSL et
  - le module `https` intégré.

* Il existe essentiellement deux types de certificats, ceux signés par une "autorité de certification" ou CA, et les certificats auto-signés.
  - Dans un environnement de production, vous devez utiliser un certificat signé par une autorité de certification. Une possibilité consiste à utiliser un service gratuit, comme celui fourni par [Let's Encrypt](https://letsencrypt.org/fr/getting-started/).
  - À des fins de test, cependant, un certificat auto-signé conviendra parfaitement.

* Voici ci-dessous quelques pas qui vous pouvez suivre pour ajouter le support HTTPS avec un certificat auto-signé:

### Installer OpenSSL

In [None]:
# Pour installer OpenSSL
!apt install openssl

Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
openssl is already the newest version (3.0.2-0ubuntu1.12).
openssl set to manually installed.
0 upgraded, 0 newly installed, 0 to remove and 17 not upgraded.


### Pour créer un certificat auto-signé

In [None]:
%%bash
# Pour créer un certificat SSL auto-signé

mkdir -p config
cd config

openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out gti525.crt -keyout gti525.key << EOF
CA
Quebec
Montreal
ETS
GTI525
aa7addc6c8e4
mail@example.com
EOF

.....+.+..+...+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*...+......+......+....+.....+...+.+..+............+......+.+......+..+.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.......+.................................+..+.........+...............+...+.+.....+............+....+.....+....+...............+..+............+.+..+....+......+.....+..........+.................+.+............+.....+...+......+.........+.......+..................+......+........+.+...........+..................+......+.+...+........+.......+..+...............+.+..+...............+...............+.+..+...+................+.....+......+...+......+.............+...+........+......+..........+...+..+......+............+......+.+...+..+.+..+.+...........+.+.....+...+.+........+............+....+.....+....+..+....+...............+.........+...+...............+...............+..+......................+.........+...........+...+.+..+....+...+++++++++++++++++++++++++++++++++++++++

### Version HTTPS de notre API

In [None]:
%%javascript --target=node --filename=index_https.mjs --port 3050

import express from 'express';
import db from './config/db.mjs';
import dishRouter from './routers/dishes.mjs';
import pagesRouter from './routers/pages.mjs';
import session from './services/session.mjs';
import passport from './services/passport.mjs';
import fs from 'node:fs';
import https from 'node:https';

const httpsOptions = {
  key: fs.readFileSync('config/gti525.key'),
  cert: fs.readFileSync('config/gti525.crt')
};

const app = express();
const PORT = process.env.NODE_PORT || 3000;
app.use(express.json());

app.use(session);

// Pour servir les pages Web d'exemple
app.set('view engine', 'ejs');
app.use(express.static('static'));
app.use("/api/dishes", dishRouter);
app.use(passport.authenticate('session'));
app.use(passport.initialize());
app.use("/", pagesRouter);

try {
    await db.connect();

    https.createServer(httpsOptions, app)
        .listen(PORT, () => console.log(`Le serveur est démarré sur le port ${PORT}`));
} catch (error) {
    console.log("Erreur: " + error.message);
}

Le serveur est démarré sur le port 3050


### Pour tester l'API avec HTTPS:

In [None]:
!curl -k -v -s https://localhost:3050/api/dishes

*   Trying 127.0.0.1:3050...
* Connected to localhost (127.0.0.1) port 3050 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Finished (20):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.2 (OUT), TLS header, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL conne

# Références
----------------
* La sécurité d'un site Web, MDN, https://developer.mozilla.org/fr/docs/Learn/Server-side/First_steps/Website_security
* Security and Identity, Web Fundamentals, https://developers.google.com/web/fundamentals/security
* Let's Encrypt, https://letsencrypt.org/fr/getting-started/
* XSS Filter Evasion Cheat Sheet, https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html
*  Mike West, Joseph Medley, Content Security Policy, https://developers.google.com/web/fundamentals/security/csp
* Same-origin policy, MDN, https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
* Same Origin Policy, W3C, https://www.w3.org/Security/wiki/Same_Origin_Policy
* Mariko Kosaka, Same-origin policy, https://web.dev/same-origin-policy/
* Cross-Origin Resource Sharing (CORS), MDN, https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
* Documentation du module `cors` sur NPM, https://www.npmjs.com/package/cors
* Auth0 docs, [Authentication vs. Authorization](https://auth0.com/docs/get-started/identity-fundamentals/authentication-and-authorization#what-are-authentication-and-authorization-)
* [How to Build an Authentication API with JWT Token in Node.js](https://www.section.io/engineering-education/how-to-build-authentication-api-with-jwt-token-in-nodejs/)
* Introduction to JSON Web Tokens, https://jwt.io/introduction
* Let's Encrypt - Commencer, https://letsencrypt.org/fr/getting-started/
* Notes du cours GTI525 de Julien Gascon-Samson.