Les tokens JWT expliqués : Structure, sécurité, bonnes pratiques

Les JSON Web Tokens apparaissent dans presque tous les systèmes d'authentification modernes. Cette longue chaîne dans votre en-tête Authorization — eyJhbGciOiJIUzI1NiIs... — est un JWT, et comprendre ce qu'il contient et comment il fonctionne est essentiel pour construire des applications sécurisées.

Qu'est-ce qu'un JWT ?

Un JWT est un format de token compact et sûr pour les URL qui transporte des revendications (données) entre deux parties. Il est auto-contenu — le token lui-même contient les informations nécessaires pour vérifier son authenticité et extraire les données utilisateur, sans nécessiter de consultation de base de données.

Décodez n'importe quel JWT instantanément avec notre Encodeur/Décodeur JWT. Collez un token et voyez son en-tête, sa charge utile et sa signature décomposés.

Structure JWT : Trois parties

Chaque JWT a trois parties encodées en Base64URL séparées par des points :

header.payload.signature

En-tête

{
  "alg": "HS256",
  "typ": "JWT"
}

Spécifie l'algorithme de signature et le type de token.

Charge utile

{
  "sub": "user123",
  "name": "Alex Chen",
  "role": "admin",
  "iat": 1708963200,
  "exp": 1709049600
}

Contient les revendications — les données réelles. Les revendications standard incluent sub (sujet), iat (émis le) et exp (expiration).

Signature

Créée en signant l'en-tête et la charge utile encodés avec une clé secrète. Cela empêche la falsification — toute modification invalide la signature.

Comment fonctionne l'authentification JWT

1. L'utilisateur se connecte avec ses identifiants
2. Le serveur crée un JWT avec les revendications utilisateur et le signe
3. Le serveur retourne le JWT au client
4. Le client envoie le JWT dans l'en-tête Authorization pour les requêtes suivantes
5. Le serveur vérifie la signature et extrait les revendications — aucune requête en base de données nécessaire

Bonnes pratiques de sécurité

Vérifiez toujours la signature

Ne faites jamais confiance à un JWT sans vérifier sa signature. Décodez la charge utile avec notre Décodeur JWT pour inspecter les tokens pendant le développement, mais vérifiez toujours cryptographiquement en production.

Utilisez des temps d'expiration courts

Les JWT ne peuvent pas être révoqués une fois émis (contrairement aux tokens de session). Gardez les temps d'expiration courts (15 à 60 minutes) et utilisez des refresh tokens pour les sessions plus longues.

Choisissez le bon algorithme

• HS256 — HMAC avec SHA-256, clé symétrique. Simple, rapide, adapté aux applications mono-serveur
• RS256 — RSA avec SHA-256, clés asymétriques. Meilleur pour les systèmes distribués où plusieurs services vérifient les tokens
• N'utilisez jamais "none" — La vulnérabilité alg: "none" a causé des failles de sécurité réelles

Protégez la clé secrète

Votre clé de signature JWT est la clé maîtresse de votre système d'authentification. Stockez-la de manière sécurisée, effectuez une rotation périodique et ne l'exposez jamais dans le code côté client.

Ne stockez pas de données sensibles dans la charge utile

Les charges utiles JWT sont encodées en Base64, pas chiffrées. N'importe qui peut les décoder. N'incluez jamais de mots de passe, numéros de carte de crédit ou secrets.

Erreurs JWT courantes

1. Ne pas valider l'expiration — Vérifiez toujours la revendication exp
2. Stocker les JWT dans localStorage — Vulnérable aux attaques XSS. Utilisez plutôt des cookies httpOnly
3. Tokens surdimensionnés — Les JWT vont dans chaque en-tête de requête. Gardez les charges utiles légères
4. Ne pas utiliser HTTPS — Les JWT envoyés en HTTP peuvent être interceptés

Questions fréquemment posées

Puis-je révoquer un JWT ?

Pas directement — les JWT sont sans état. Les solutions de contournement incluent des temps d'expiration courts, des listes noires de tokens ou le changement de la clé de signature (ce qui invalide tous les tokens).

Dois-je utiliser des JWT pour les sessions ?

Les JWT fonctionnent bien pour l'authentification API et les microservices. Pour les sessions web traditionnelles, les sessions côté serveur avec cookies sont souvent plus simples et plus sécurisées.

Quelle est la différence entre JWT et OAuth ?

OAuth est un framework d'autorisation. JWT est un format de token. OAuth peut utiliser des JWT comme tokens d'accès, mais ils résolvent des problèmes différents.

Ressources connexes

• L'encodage Base64 expliqué — comprenez l'encodage utilisé par les JWT
• Comprendre la sécurité JWT — plongée approfondie dans les vulnérabilités
• Encodeur/Décodeur JWT — décodez et créez des JWT instantanément
• Générateur de hash — explorez les algorithmes derrière les signatures JWT