JWT (JSON Web Token)
Qu'est-ce que JWT (JSON Web Token) ?
JWT (JSON Web Token)Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
Un JSON Web Token est une chaine de trois parties Base64URL separees par des points: header, payload et signature. Le header declare l'algorithme de signature; le payload porte des claims comme iss, sub, aud, exp et des donnees applicatives; la signature permet au destinataire de verifier integrite et provenance. Les JWT peuvent etre signes (JWS) ou chiffres (JWE) et sont au coeur d'OAuth 2.0, OpenID Connect et de l'authentification service-a-service. Leur cote stateless facilite le passage a l'echelle mais complique la revocation. Toujours figer l'algorithme cote serveur, valider aud, iss et exp, preferer une duree de vie courte, et associer refresh token ou token introspection.
● Exemples
- 01
Un ID token OIDC signe en RS256 renvoye a une SPA.
- 02
Un access token avec { "sub": "u123", "scope": "read:profile", "exp": 1734567890 }.
● Questions fréquentes
Qu'est-ce que JWT (JSON Web Token) ?
Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie JWT (JSON Web Token) ?
Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
Comment fonctionne JWT (JSON Web Token) ?
Un JSON Web Token est une chaine de trois parties Base64URL separees par des points: header, payload et signature. Le header declare l'algorithme de signature; le payload porte des claims comme iss, sub, aud, exp et des donnees applicatives; la signature permet au destinataire de verifier integrite et provenance. Les JWT peuvent etre signes (JWS) ou chiffres (JWE) et sont au coeur d'OAuth 2.0, OpenID Connect et de l'authentification service-a-service. Leur cote stateless facilite le passage a l'echelle mais complique la revocation. Toujours figer l'algorithme cote serveur, valider aud, iss et exp, preferer une duree de vie courte, et associer refresh token ou token introspection.
Comment se défendre contre JWT (JSON Web Token) ?
Les défenses contre JWT (JSON Web Token) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de JWT (JSON Web Token) ?
Noms alternatifs courants : JSON Web Token.
● Termes liés
- appsec№ 575
Vulnerabilites JWT
Classes de defauts d'implementation dans la validation des JSON Web Tokens permettant a un attaquant de forger des tokens, escalader des privileges ou contourner l'authentification.
- identity-access№ 749
OAuth 2.0
Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants.
- identity-access№ 760
OpenID Connect (OIDC)
Couche d'identité construite au-dessus d'OAuth 2.0, permettant aux clients de vérifier l'identité d'un utilisateur et d'obtenir un profil de base via un jeton ID signé.
- identity-access№ 007
Access Token (jeton d'acces)
Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service.
- identity-access№ 913
Refresh Token
Credential a longue duree utilisee pour obtenir de nouveaux access tokens a courte duree aupres d'un serveur d'autorisation OAuth 2.0 sans relogin de l'utilisateur.
- identity-access№ 088
Bearer Token (token au porteur)
Credential opaque ou structure (RFC 6750) qui accorde l'acces a une ressource par simple possession, sans preuve que le porteur en est le proprietaire legitime.