JWT (JSON Web Token) — jeton web JSON
Définition : un JWT est un petit « laissez-passer » numérique, lisible par les machines, que l’on utilise pour prouver une identité ou transmettre quelques informations entre un navigateur/app et un serveur. Il est composé de trois parties séparées par des points : un en-tête (type et algorithme), un corps (les informations appelées « claims », ex. nom d’utilisateur, date d’expiration) et une signature qui prouve que le jeton n’a pas été modifié.
Usage courant : après connexion, le serveur délivre un JWT que le client envoie ensuite avec chaque requête pour s’authentifier. Le serveur vérifie la signature et la validité (expiration) pour accepter la requête.
Important : la signature garantit l’intégrité mais pas la confidentialité — ne mettez pas de données sensibles en clair dans le JWT à moins de l’encrypter. Toujours utiliser HTTPS, prévoir une durée de vie courte et une stratégie de révocation si nécessaire.
