Question 1

Le décodage d'un JWT est-il sûr ? N'importe qui peut-il le lire ?

Accepted Answer

Oui, l'en-tête et la charge utile d'un JWT sont simplement encodés en Base64URL — n'importe qui peut les décoder sans le secret. Ne stockez jamais de données sensibles comme des mots de passe dans une charge utile JWT. La signature ne vérifie que l'intégrité, pas la confidentialité.

Question 2

Quelle est la différence entre JWT et JWS ?

Accepted Answer

JWT (JSON Web Token) définit la structure du jeton. JWS (JSON Web Signature) est le mécanisme utilisé pour signer le jeton. La plupart des JWT que vous rencontrez sont en réalité des jetons JWS avec une charge utile JWT.

Question 3

Puis-je utiliser RSA ou ECDSA pour signer des JWT ?

Accepted Answer

Cet outil prend en charge les algorithmes HMAC (HS256, HS384, HS512) pour la signature. RSA (RS256) et ECDSA (ES256) utilisent des clés asymétriques, ce qui nécessite une approche différente de gestion des clés.

Question 4

Que se passe-t-il quand un JWT expire ?

Accepted Answer

Lorsque la revendication exp (expiration) est dépassée, le jeton est considéré comme expiré. Le serveur doit rejeter les jetons expirés. Cet outil met en évidence les jetons expirés pour que vous puissiez les identifier rapidement lors du débogage.

Encodeur/Décodeur JWT

Qu'est-ce qu'un JWT (JSON Web Token) ?

Comment décoder un jeton JWT

Comment générer un JWT signé

Plus d'Outils