JWT expliqué : structure, sécurité et erreurs courantes

JWT simplifie l'authentification sans état, mais facilite aussi la distribution de credentials difficiles à révoquer. La rigueur de validation compte plus que la commodité.

Les trois parties

Un JWT a un header, un payload et une signature. Le payload n'est pas chiffré par défaut, il ne doit donc pas contenir de secrets ni d'informations sensibles.

Ce que vous devez toujours valider

• Les algorithmes autorisés de façon explicite
• exp, iss et aud
• Des tokens d'accès à durée de vie courte
• Des refresh tokens séparés quand nécessaire

Révocation et opérations

Comme un JWT déjà émis est difficile à retirer, il convient de combiner TTL court, rotation de clés et, quand c'est nécessaire, listes de révocation.

Conseil pratique

Inspectez les tokens avec des outils locaux comme JWT Inspector. Envoyer de vrais tokens à des décodeurs externes est une mauvaise pratique opérationnelle.