Aller au contenu principal

Coffre-fort des secrets

Le Coffre-fort des secrets dans Logto est conçu pour stocker en toute sécurité les données sensibles des utilisateurs — telles que les jetons d’accès (Access tokens), les clés API, les codes d’accès ou toute autre information confidentielle nécessitant une protection. Ces secrets sont souvent utilisés pour accéder à des services tiers au nom de l’utilisateur, rendant le stockage sécurisé essentiel.

Schéma de chiffrement

Pour protéger les données sensibles, le Coffre-fort des secrets utilise un schéma de chiffrement robuste basé sur les clés de chiffrement des données (DEK) et les clés de chiffrement des clés (KEK).

  • Chiffrement par secret : Chaque secret est chiffré avec sa propre DEK unique, garantissant que même si une clé est compromise, les autres secrets restent sécurisés.
  • Enrobage de clé : La DEK elle-même est chiffrée (ou "enrobée") avec une KEK, qui est gérée et stockée de manière sécurisée par le système.
  • Sécurité en couches : Cette approche à deux niveaux garantit que même si une partie du système est compromise, les attaquants ne peuvent pas accéder aux secrets sans la DEK et la KEK.
  • Exposition minimisée : Les secrets ne sont déchiffrés que lorsque cela est absolument nécessaire, réduisant ainsi le risque d’exposition accidentelle et respectant les meilleures pratiques pour la gestion des données sensibles.

Ce modèle de chiffrement en couches offre une protection forte pour les identifiants et jetons les plus sensibles des utilisateurs, tout en permettant un accès sécurisé lorsque cela est nécessaire.

Types de secrets

info:

Actuellement, l’ensemble de jetons fédérés est le seul type de secret pris en charge nativement. Cependant, le Coffre-fort des secrets est conçu pour accueillir tout type d’information sensible. Si vous avez besoin de la prise en charge d’autres types de secrets, veuillez nous contacter — nous serons ravis de vous aider.