Déverrouiller la sécurité: sessions, cookies, JWT et accès des utilisateurs dans le développement Roku

La sécurité est toujours une grande préoccupation pour les applications OTT. Comprendre l’identité de l’utilisateur et leurs niveaux d’accès est très crucial tout en développant des canaux ROKU sécurisés et conviviaux avec BrightScript. Il existe de nombreux mécanismes qui sont utilisés pour adopter la sécurité dans les applications OTT. Certains des mécanismes de sécurité les plus couramment utilisés sont – SestionsCaussi, JwtsUNut-métroet unuthorisation. Les développeurs entendent souvent ces termes, mais très peu d’entre eux comprennent ce qu’ils sont et quelle est leur importance dans l’écosystème Roku. Dans ce blog, nous comprendrons ces concepts avec des exemples pratiques de Roku.

1. Séances: Comprenons ce qu’est une session et comment elle est gérée dans Roku. Une session informe généralement un intervalle de temps un utilisateur reste connecté ou reste connecté à un service. Habituellement, les sessions sont gérées du côté serveur. Un identifiant unique (appelé De session) est utilisé pour identifier un utilisateur valide. Cependant, dans Roku, vous pouvez également stocker des données liées à la session localement.

Voyons comment nous pouvons stocker des jetons et des données utilisateur dans BrightScript. Vous pouvez gérer les sessions en utilisant le roregry ou en stockant des jetons et des données utilisateur dans rofilesystem.

Cela permet à votre application Roku de gérer l’état de connexion de l’utilisateur entre les lancements d’applications.

→ Il est toujours recommandé de crypter des données sensibles lors du stockage localement.

2. Cookies: Les cookies sont généralement utilisés dans les navigateurs Web. Les cookies sont un spécial lieu sécurisé où les petites données (envoyées par un serveur Web) sont stockées. Ces données sont renvoyées au serveur via des appels API (généralement dans des en-têtes API), en cas de besoin. Mais À Roku, il n’y a pas d’existence de cookies. Pourtant, si votre application utilise des API qui utilisent le mécanisme des cookies, il y a un travail. Vous pouvez enregistrer des données (envoyées par le serveur) dans le registre et renvoyer cela au serveur à l’aide des en-têtes de demande. Voici une mise en œuvre pratique.

3. JWT: JWT représente Jeton Web JSON. Les JWT sont le plus souvent Utilisé pour l’authentification des utilisateurs. Un JWT est une combinaison de Informations utilisateur + Signature secrète / jeton. Il s’agit d’un jeton compact partagé entre le client et le serveur. Les JWT sont généralement stockés localement dans votre application. Ils sont échangés via des appels API comme nous le faisons avec les sessions. Les JWT peuvent être stockés en toute sécurité et facilement ajoutés aux demandes d’API. Exemple dans Roku:

Ici, la valeur («Bearer» + jeton) de Autorisation déposé dans le en-tête API est un JWT. Veuillez vous assurer que votre jeton est stocké dans un endroit sécurisé, tel que la roregistry ou les fichiers cryptés.

4. Authentification: L’authentification signifie Identifier qui vous êtes. L’authentification est le processus de validation de l’identité d’un utilisateur. C’est à peu près similaire à Affichage de votre pièce d’identité à la porte de l’école / du bureau. L’événement de connexion est le meilleur exemple d’authentification dans les applications Roku. Lorsqu’un utilisateur entre dans le nom d’utilisateur et le mot de passe dans le canal Roku, ces informations d’identification sont envoyées au serveur. Si les informations d’identification sont correctes, le serveur renvoie un ID de session ou JWT. Cet ID de session ou JWT peut être stocké en toute sécurité dans un appareil Roku localement.

5. Autorisation: L’autorisation est un processus de valider les droits qu’un utilisateur a. En termes simples, c’est une procédure de Vérifier ce que vous êtes autorisé à faire. Cela peut être compris avec un exemple très simple – un utilisateur invité peut parcourir une application OTT, mais l’utilisateur devrait avoir un plan d’abonnement pour regarder un contenu payant.

Conclusion: Il est vraiment essentiel de comprendre ces concepts afin de construire des canaux Roku sécurisés et conviviaux. La sécurité est toujours une préoccupation avec les applications et sessions OTT, les cookies ou les JWT tirent toujours la sécurité dans vos applications. Les derniers points à retenir de ce blog sont: –

• Authentification = Qui tu es
• Autorisation = Ce que vous pouvez faire
• Session / Cookie / JWT = Comment le serveur vous souvient et vous fait confiance

Veuillez laisser tomber les commentaires ci-dessous si vous avez des questions ou si vous souhaitez partager vos propres idées / suggestions!

Vous avez trouvé cela utile? PARTAGEZ-LE