Chiffrement et signature des échanges
Tous les échanges de jetons JWT entre le FI et FC sont signés.
Sur FranceConnect,
les tokens sont signés avec HS256 par le FI.
La réponse à l'appel /userinfo peut être un JSON simple ou un JWT signé avec HS256 par le FI.
Il n'y a pas de chiffrement sur FranceConnect.
Sur FranceConnect+,
Tous les échanges de jetons JWT entre le FI et FC sont signés et chiffrés en utilisant les algorithmes décrits ci-dessous.
Signature de jetons par le FI sur FC+
- Asymétrique :
- ES256 (EC + SHA256)
- RS256 (RSA + SHA256)
Chiffrement de jetons (jwe+jws) sur FC+
- Hybride :
- RSA-OAEP-256 + AES256-GCM
- ECDH-ES + AES256-GCM
Les spécifications des algorithmes de signature et de chiffrement utilisés sont les suivantes :
- JWA - https://tools.ietf.org/html/rfc7518
- JWS - https://tools.ietf.org/html/rfc7515#appendix-A.3
- JWE - https://tools.ietf.org/html/rfc7516#appendix-A.1
Les clés publiques de chiffrement de FranceConnect sont changées régulièrement et sont disponibles à l'adresse suivante :
| Environnement | adresses du endpoint |
|---|---|
| intégration FC+ | https://auth.integ01.dev-franceconnect.fr/api/v2/client/.well-known/keys |
| production FC+ | https://auth.franceconnect.gouv.fr/api/v2/client/.well-known/keys |
les clés de signature utilisées par le Fournisseur d'Identité doivent être disponible via la JWKS URL présente dans les méta-data de la Discovery URL .