JWT (JSON Web Token) est un standard ouvert (RFC 7519) qui définit une manière compacte et autonome de transmettre des informations de manière sécurisée entre parties. Ces informations peuvent être vérifiées et fiables car elles sont signées numériquement.
Un JWT est composé de trois parties, séparées par des points (.): l'en-tête (Header), la charge utile (Payload) et la signature (Signature). L'en-tête spécifie l'algorithme de signature, la charge utile contient les revendications, et la signature est utilisée pour vérifier que le message n'a pas été altéré.
Authentification (le scénario le plus courant), échange d'informations (les JWT peuvent transmettre des informations de manière sécurisée car ils peuvent être signés), autorisation (contient des informations sur les permissions de l'utilisateur) et mise en œuvre de l'authentification unique.
JWT prend en charge plusieurs algorithmes de signature, principalement divisés en deux catégories: les algorithmes symétriques basés sur HMAC (comme HS256) et les algorithmes asymétriques basés sur RSA/ECDSA (comme RS256, ES256). Les algorithmes symétriques utilisent la même clé pour signer et vérifier, les algorithmes asymétriques utilisent une clé privée pour signer et une clé publique pour vérifier.
Ne stockez pas d'informations sensibles (comme des mots de passe) dans un JWT, car la charge utile d'un JWT est simplement encodée en Base64, pas chiffrée. Pour les applications nécessitant une haute sécurité, il est recommandé d'utiliser une durée de vie courte et de mettre en œuvre une stratégie de rotation des tokens.
Lorsqu'un JWT expire, le serveur rejette ce token. La méthode recommandée est de mettre en œuvre un mécanisme de token de rafraîchissement (Refresh Token), où le client utilise un token de rafraîchissement pour obtenir un nouveau token d'accès, sans nécessiter que l'utilisateur se reconnecte. Les tokens de rafraîchissement ont généralement une durée de vie plus longue, mais doivent être stockés avec précaution.
Strictement parlant, les JWT sont conçus comme des tokens sans état et ne peuvent pas être réellement révoqués. Cependant, il existe plusieurs solutions courantes: maintenir une liste noire des tokens révoqués (ce qui peut annuler l'avantage des JWT sans état), utiliser une durée de vie courte avec des tokens de rafraîchissement, ou intégrer un identifiant de version dans le token, permettant au serveur de rejeter les anciennes versions.
Les JWT sont des tokens autonomes contenant toutes les informations nécessaires, adaptés aux systèmes distribués, ne nécessitant pas de stockage d'état de session côté serveur. Les sessions sont basées sur un stockage côté serveur, nécessitant de maintenir l'état de session, plus adaptées aux architectures à serveur unique. Les JWT sont plus adaptés à l'extension, mais leur révocation est complexe; les sessions sont faciles à révoquer, mais moins extensibles.