AG
JWT
DECODER
Décodeur
Algorithmes
Revendications
Guides
À propos
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
Décodeur
/
Guides
/
Liste de contrôle de sécurité JWT
Guide
Liste de contrôle de sécurité JWT
Une courte liste des principes clés pour utiliser JWT en toute sécurité.
Rejetez alg=none et les algorithmes inattendus ; n'autorisez que l'algorithme attendu.
La charge utile n'est pas chiffrée : n'y placez jamais de mots de passe, de données personnelles ni d'autres secrets.
Gardez une durée de vie courte avec exp, et contrôlez la fenêtre de validité et la réutilisation avec nbf et jti.
En vérifiant la signature, contrôlez aussi que iss et aud correspondent à vos valeurs attendues.
Les secrets doivent être longs et aléatoires, et ne jamais être exposés au client.
Essayez de décoder un jeton vous-même
Collez simplement et l'en-tête, la charge utile et les revendications se déploient instantanément.
Ouvrir le décodeur
Associés
Qu'est-ce qu'un JWT
Un JWT (JSON Web Token) est un petit format de jeton JSON signé pour transmettre des informations de façon sûre entre des parties.
La structure en trois parties du JWT
Tout JWT se compose de header.payload.signature, et chaque partie est encodée en base64url.
JWT contre authentification par session
La différence entre l'authentification par jeton (JWT) et par session serveur (cookie), et quand utiliser chacune.
Erreurs JWT courantes et solutions
Les erreurs les plus fréquentes en travaillant avec JWT, avec leurs causes et solutions.
Jetons d'accès et jetons de rafraîchissement
Le rôle du jeton d'accès à courte durée de vie et du jeton de rafraîchissement qui le renouvelle.