Le contrôle d’accès basé sur des jetons (Token-Based Access Control, TBAC) est un mécanisme de gestion de la sécurité qui associe une liste d’objets et les privilèges correspondants à chaque utilisateur. En d’autres termes, chaque utilisateur reçoit un jeton qui précise les ressources (objets) auxquelles il peut accéder et les opérations (privilèges) qu’il peut effectuer sur ces ressources.

Caractéristiques principales du TBAC

1. Association des objets aux jetons : Dans un système TBAC, les objets (ressources) et leurs privilèges sont associés aux jetons des utilisateurs plutôt qu’à une liste centrale. Cela signifie que chaque utilisateur possède un jeton personnalisé qui énumère les ressources accessibles et les permissions associées.
2. Gestion des privilèges : Les privilèges sont spécifiés à l’intérieur du jeton. Ces privilèges peuvent inclure des opérations telles que lire, écrire, modifier ou supprimer un objet. Le système vérifie le jeton de l’utilisateur pour déterminer si l’action demandée est autorisée.
3. Sécurité et évolutivité : Le TBAC est considéré comme sûr et évolutif. Sûr, car il réduit le risque d’accès non autorisés en centralisant le contrôle dans les jetons des utilisateurs. Évolutif, car il peut facilement gérer un grand nombre d’utilisateurs et de ressources sans avoir besoin de maintenir une liste d’accès centrale.
4. Authentification et autorisation : Un système TBAC repose sur deux phases cruciales : l’authentification et l’autorisation. Lors de l’authentification, l’utilisateur fournit des identifiants pour prouver son identité. Une fois authentifié, le système vérifie le jeton de l’utilisateur pour autoriser l’accès aux ressources demandées.

Avantages du TBAC

• Décentralisation du contrôle : Comme les jetons contiennent toutes les informations nécessaires sur les privilèges des utilisateurs, il n’est pas nécessaire de recourir à une liste centrale, ce qui réduit les goulots d’étranglement et améliore l’efficacité du système.
• Flexibilité : Les jetons peuvent être facilement mis à jour ou révoqués, permettant une gestion dynamique des privilèges des utilisateurs.
• Réduction de la charge administrative : La gestion des jetons peut être automatisée, ce qui réduit la charge de travail des administrateurs système.

Différences par rapport au contrôle basé sur des listes (List-Based Access Control)

Contrairement au TBAC, le contrôle d’accès basé sur des listes (List-Based Access Control, LBAC) maintient une liste centrale qui associe les utilisateurs aux ressources et aux privilèges correspondants. Cette liste doit être consultée à chaque fois qu’un utilisateur tente d’accéder à une ressource, ce qui peut entraîner des inefficacités et des difficultés dans la gestion centralisée des privilèges.

En résumé, le contrôle d’accès basé sur des jetons représente une approche flexible et sécurisée pour la gestion des permissions des utilisateurs, s’adaptant bien aux scénarios comportant un grand nombre de ressources et d’utilisateurs, où l’évolutivité et la décentralisation du contrôle sont essentielles.