JSON Web Tokens — tokens compacts et signés pour l'authentification. Quand ils sont utiles, quand ils sont surestimés.
Catégorie · Sécurité & Conformité
Un token signé, mais en clair.
Un JSON Web Token est un paquet de données compact et signé : header, payload et signature, encodés en base64. La signature garantit que le contenu n'a pas été altéré — mais elle ne le chiffre pas. Quiconque détient le token peut en lire le contenu.
Typiquement, un JWT contient qui est l'utilisateur, quand le token expire et quels droits il porte. Le serveur peut le vérifier sans interroger une base de données à chaque requête.
Quand ils sont utiles.
Les JWT déploient leur force dans des systèmes sans état et distribués — par exemple lorsque plusieurs services doivent vérifier la même identité sans partager de session commune. En combinaison avec OAuth/OIDC, ils sont la norme en tant qu'access-tokens à courte durée de vie.
Nous les utilisons là où le stateless est réellement un avantage, et nous gardons leur durée de vie courte.
Quand ils sont surestimés.
La plus grande erreur : un JWT émis ne peut pas être révoqué sans difficulté — jusqu'à son expiration, il reste valide. Pour des sessions classiques avec déconnexion immédiate, une session côté serveur est souvent le choix le plus honnête.
Qui écrit des données sensibles dans le payload ou garde des tokens valides pendant des mois a mal compris le format.
