FAQ
Questions Fréquemment Posées
Qu'est-ce qu'un JWT (JSON Web Token) ?
Un JWT est un format de token compact et sûr pour les URLs utilisé pour transmettre des informations de manière sécurisée entre parties. Il se compose de trois parties : un en-tête (algorithme et type), une charge utile (claims) et une signature. Les JWT sont couramment utilisés pour l'authentification, l'autorisation et l'échange d'informations dans les applications web modernes.
Est-il sûr de décoder des JWTs en ligne ?
Notre Débogueur JWT traite tout côté client dans votre navigateur. Vos tokens ne sont jamais envoyés à aucun serveur, ce qui le rend complètement sûr à utiliser. Cependant, ne partagez jamais vos tokens de production publiquement, car les charges utiles peuvent contenir des informations sensibles.
Que sont les claims JWT ?
Les claims JWT sont des déclarations sur le sujet du token. Les claims enregistrés incluent 'iss' (émetteur), 'sub' (sujet), 'aud' (audience), 'exp' (expiration), 'iat' (émis le) et 'nbf' (pas avant). Les claims personnalisés peuvent inclure des données spécifiques à l'application.
Comment vérifier une signature JWT ?
Les signatures JWT sont vérifiées en utilisant l'algorithme spécifié dans l'en-tête (ex., HS256, RS256). Ce décodeur affiche la signature mais ne la vérifie pas—vous avez besoin de la clé secrète ou de la clé publique pour la vérification. N'exposez jamais vos clés secrètes.
Pourquoi mon JWT s'affiche-t-il comme expiré ?
Les JWT ont un claim 'exp' (expiration) qui spécifie quand le token expire. Si l'heure actuelle est postérieure à cet horodatage, le token est considéré comme expiré. Vous devrez obtenir un nouveau token auprès de votre fournisseur d'authentification.
Quelle est la différence entre HS256 et RS256 ?
HS256 utilise une clé secrète symétrique à la fois pour signer et vérifier. RS256 utilise la cryptographie asymétrique avec une clé privée pour signer et une clé publique pour vérifier. RS256 est préféré pour les systèmes distribués où la clé de vérification doit être partagée.