JWT
JWT (JSON Web Token)
Un format de jeton compact et sûr pour les URLs, permettant de transmettre des revendications (claims) entre parties de manière sécurisée, couramment utilisé pour l'authentification sans état dans les APIs Web.
Détail technique
Un JWT se compose de trois parties encodées en base64url séparées par des points : header (algorithme et type de jeton), payload (claims : iss, sub, exp, iat, et claims personnalisés) et signature (HMAC-SHA256, RSA-SHA256, ou EdDSA). Le payload n'est PAS chiffré — il est seulement encodé en Base64. Les JWS (JSON Web Signature) fournissent l'intégrité ; le JWE (JSON Web Encryption) ajoute la confidentialité. Les bonnes pratiques : durée de vie courte (< 15 min), stockage sécurisé (HttpOnly cookies, pas localStorage), validation du claim aud, et utilisation de listes de révocation pour l'invalidation.
Exemple
```javascript
// JWT: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```