Comment JWT est utilisé dans OAuth 2.0 et OpenID Connect.
Jeton d'accès : représente l'autorisation d'accéder à une ressource (API). Souvent un JWT, mais son format n'est pas imposé.
Jeton d'ID (OIDC) : un JWT qui porte le résultat de l'authentification ; il doit être un JWT et inclut sub, aud, iss, exp et des revendications de profil.
Jeton de rafraîchissement : sert à renouveler le jeton d'accès ; généralement une chaîne opaque, il n'est donc pas destiné à être décodé.
À la vérification, contrôlez toujours iss, aud, exp et la signature ; OIDC vérifie la signature avec le JWKS (clés publiques) de l'émetteur.
Essayez de décoder un jeton vous-mêmeCollez simplement et l'en-tête, la charge utile et les revendications se déploient instantanément.