JWT

JWT (JSON Web Token) est un format de jeton compact et sûr pour URL pour transmettre des claims de manière sécurisée entre parties. Il se compose de trois parties : header, payload et signature.

Le JWT standard (JWS) est signé mais pas chiffré - le payload est encodé en Base64 et lisible. Pour le chiffrement, utilisez JWE. Ne stockez jamais de données sensibles dans un JWT standard.

HS256 utilise une clé symétrique (même secret pour signer et vérifier). RS256 utilise des clés asymétriques (clé privée signe, publique vérifie). RS256 est meilleur pour les systèmes distribués.