Le JSON Web Token est une norme industrielle pour la transmission de réclamations sécurisées. Il est également connu sous le nom de JWT. Lorsqu‘un utilisateur reçoit un jeton d‘authentification, celui-ci est stocké localement, par exemple dans ses cookies. Par exemple, lorsque vous vous connectez à un site, vous recevez un jeton web JSON indiquant que vous vous êtes connecté avec succès. Ce jeton sera ensuite stocké dans un cookie par votre navigateur. Lorsque vous visiterez les différentes sections du site, il vous demandera si vous êtes autorisé à vous y trouver. Le jeton web sécurisé indiquera au serveur que vous l‘êtes.
Les jetons web JSON sont couramment utilisés dans un contexte de signature unique. Un jeton web JSON est compact et sans danger pour l‘URL. Il est conçu pour contenir toutes les informations dont le serveur aura besoin. Cela signifie qu‘il n‘est pas nécessaire d‘émettre un nouveau jeton web JSON pour un autre type d‘accès. Il réduit également la fréquence d‘envoi des requêtes.
Ce système permet d‘accorder un accès sécurisé aux utilisateurs sous la forme d‘une session limitée dans le temps. Il améliore la sécurité et le temps de traitement des demandes d‘accès. Les jetons web JSON sont également utilisés pour l‘échange d‘informations.
Il s‘agit d‘une norme ouverte, basée sur la RFC 7519. Dans le jeton web JSON, les revendications sont écrites sous la forme d‘un objet JSON. Cela signifie qu‘il utilise soit une structure de signature Web JSON (JWS), soit une structure de cryptage Web JSON (JWE), qui est en clair. Le fait d‘être basé sur JSON permet aux jetons d‘être signés et/ou cryptés numériquement. Le jeton web se compose de trois sections. Il s‘agit de l‘en-tête, de la charge utile et de la signature. Chacune de ces sections est séparée par des points.
L‘utilisation de JSON pour apprendre les mécanismes de l‘authentification peut simplifier le processus pour les programmeurs. Les jetons web JSON présentent également des vulnérabilités, comme le fait d‘être lisibles par n‘importe qui, à moins qu‘ils ne soient correctement cryptés.