Validation du « claim » (sujet) de JWT (en attente)

Attention

Ce changement de comportement fait partie du bundle 2025_06.

Pour connaître le statut actuel du bundle, reportez-vous à Historique du bundle.

Vue d’ensemble

Ce document décrit un changement à venir dans le processus de validation pour les jetons Web JSON (JWTs) utilisé avec l’authentification par paire de clés pour les APIs REST Snowflake. Pour renforcer la sécurité, nous mettons fin à un flux hérité qui a accepté les JWTs avec un « claim » sub (sujet) vide.

Action requise : Si votre application utilise l’authentification par paire de clés, vous devez mettre à jour votre logique de génération JWT pour vous assurer que le « claim » sub est correctement formaté et éviter les échecs d’authentification.

Ce qui change

Note

Lorsque ce bundle de modifications est activé par défaut, les JWTs avec un « claim » sub vide seront rejetés, quel que soit le format de « claim » iss.

Avant la modification:

Les JWTs étaient acceptés même si le « claim » sub était vide, à condition que le « claim » iss (émetteur) ait été formaté correctement pour ce cas.

Après la modification:

Le système appliquera désormais strictement la règle selon laquelle le « claim » sub doit contenir une valeur valide. Si le « claim » sub est vide, le JWT sera rejeté et l’authentification échouera.

Impact

Toute application ou script qui s’appuie sur l’ancien comportement d’envoi d’un JWT avec un « claim » sub vide commencera à faire échouer les demandes d’authentification. Cela entraînera une interruption immédiate du service pour ces applications.

Actions requises

Pour éviter toute interruption de service, procédez comme suit :

  1. Vérifiez vos applications et scripts qui utilisent l’authentification par paire de clés pour se connecter aux APIs REST Snowflake.

  2. Assurez-vous que la logique de génération de votre JWT comprend à la fois un « claim » iss (émetteur) correctement formaté et un « claim » sub (sujet) valide.

  3. Le format correct pour les « claims » est le suivant :

    • iss : Doit être formaté comme <account_identifier>.<user>.SHA256:<public_key_fingerprint>

    • sub : Doit être formaté comme <account_identifier>.<user>

Pour des instructions détaillées et des exemples sur la façon de formater et de générer correctement votre JWT, voir Utilisation de l’authentification par paire de clés.

Réf : 2077

Langage: Français