Tokens vs Clés API

Les tokens (comme les JWT) et les clés API sont tous deux utilisés pour l'authentification et l'autorisation, mais ils ont des objectifs différents. Voici un aperçu simplifié de leur fonctionnement.

Le Flux avec un Token (JWT)
1️⃣ L'utilisateur se connecte à l'application web frontend.
2️⃣ Les identifiants sont envoyés au service d'identité.
3️⃣ Après authentification réussie, un token JWT est généré et renvoyé.
4️⃣ Le frontend effectue des appels API avec le JWT dans l'en-tête `Authorization`.
5️⃣ L'API Gateway intercepte la requête et valide le JWT (signature, expiration et claims).
6️⃣ Si valide, la gateway renvoie une réponse de validation.
7️⃣ La requête validée est transférée au service réservé aux utilisateurs authentifiés.
8️⃣ Le service traite la demande et interagit avec la base de données pour renvoyer les résultats.

Le Flux avec une Clé API

1️⃣ Un développeur tiers s'enregistre sur le portail dédié.
2️⃣ Le portail génère une clé API.
3️⃣ La clé est stockée de manière sécurisée pour vérification ultérieure.
4️⃣ L'application du développeur envoie des requêtes API avec la clé dans l'en-tête.
5️⃣ L'API Gateway intercepte la requête et envoie la clé au service de validation.
6️⃣ Le service vérifie la clé dans le stockage sécurisé et répond.
7️⃣ Si la clé est valide, la gateway transmet la requête au service API public.
8️⃣ Le service la traite et accède à la base de données si nécessaire.