JSON Web Token

Un jeton se compose de trois parties :

• Un en-tête (header), utilisé pour décrire le jeton. Il s'agit d'un objet JSON.
• Une charge utile (payload) qui représente les informations embarquées dans le jeton. Il s'agit également d'un objet JSON.
• Une signature numérique.

Il existe des outils en ligne permettant de les déchiffrer[2].

{"typ": "jwt", "alg": "HS512"}

{"name":"Wikipedia", "iat":1525777938}

Pour obtenir la signature, il faut tout d'abord encoder séparément l'en-tête et la charge utile avec Base64url défini dans la RFC 4648[3]. Ensuite, on les concatène en les séparant par un point. On obtient la signature de ce résultat avec l'algorithme choisi. Cette signature est ajoutée au résultat de la même manière (encodée et séparée par un point).

À noter que pour l'encodage en Base64url, le caractère de remplissage '=' n'est pas obligatoire et ne sera pas utilisé dans la création du JSON Web Token pour faciliter la transmission dans une URL.

À partir de l'exemple ci-dessus, voici les différentes étapes pour obtenir un JSON Web Token.

Encodage de l'en-tête

eyJ0eXAiOiAiand0IiwgImFsZyI6ICJIUzUxMiJ9

Encodage de la charge utile

eyJuYW1lIjoiV2lraXBlZGlhIiwiaWF0IjoxNTI1Nzc3OTM4fQ

Concaténation de l'en-tête et de la charge utile, séparation par un point

eyJ0eXAiOiAiand0IiwgImFsZyI6ICJIUzUxMiJ9.eyJuYW1lIjoiV2lraXBlZGlhIiwiaWF0IjoxNTI1Nzc3OTM4fQ

Obtention du code d'authentification de message avec l'algorithme HMAC-SHA512[4].

HMACSHA512(concatenation, 'ma super clé secrète')

Encodage du code (toujours avec Base64url)

iu0aMCsaepPy6ULphSX5PT32oPvKkM5dPl131knIDq9Cr8OUzzACsuBnpSJ_rE9XkGjmQVawcvyCHLiM4Kr6NA

Concaténation des deux éléments, séparation par un point

eyJ0eXAiOiAiand0IiwgImFsZyI6ICJIUzUxMiJ9.eyJuYW1lIjoiV2lraXBlZGlhIiwiaWF0IjoxNTI1Nzc3OTM4fQ.iu0aMCsaepPy6ULphSX5PT32oPvKkM5dPl131knIDq9Cr8OUzzACsuBnpSJ_rE9XkGjmQVawcvyCHLiM4Kr6NA

La spécification de JWT propose différents champs (ou paramètres) standards, appelés Claims[5] :

• iss : créateur (issuer) du jeton
• sub : sujet (subject) du jeton
• aud : audience du jeton
• exp : date d'expiration du jeton
• nbf : date avant laquelle le jeton ne doit pas être considéré comme valide (not before)
• iat : date à laquelle a été créé le jeton (issued at)
• jti : identifiant unique du jeton (JWT ID)

Tous ces paramètres sont optionnels. Ils permettent simplement de définir plus précisément un jeton et de renforcer sa sécurité (e.g. en limitant la durée de vie d'un jeton).

L'implémentation de JWT peut se faire à travers une pléthore de bibliothèques[6] disponibles dans de nombreux langages de programmation.

Voici une liste non exhaustive de langages de programmation pour lesquels il existe une librairie JWT : .NET, 1C, Ada, C, C++, Clojure, Crystal, D, Delphi, Elixir, Erlang, Go, Groovy, Haskell, Haxe, Java, JavaScript, kdb+/Q, Kotlin, Lua, Node.js, Objective-C, Perl, PHP, PostgreSQL, Python, Ruby, Rust, Scala, Swift.

Il est également possible d'implémenter soi-même la spécification RFC 7519[1] décrivant JWT.

Les JWT sont un moyen d'authentification sécurisé. Il existe néanmoins certaines vulnérabilités, qui sont évitables en les considérant avec précaution. En voici une liste non exhaustive :

• Un JWT peut être soit encodé soit chiffré[4]. Un JWT uniquement encodé, comme c'est le cas de la majorité des JWT en circulation[4], devra donc transiter par un protocole de communication sécurisé (i.e. HTTPS) pour le rendre inutilisable par un utilisateur mal intentionné qui serait parvenu à l'intercepter[7].
• La clé secrète doit être conservée de façon extrêmement sécurisée. Tout utilisateur (ou système) en possession de la clé secrète d'un serveur serait en mesure de générer des JWT reconnus comme valides par ce serveur[4] - [7].

• (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « JSON Web Token » (voir la liste des auteurs).

• OpenID Connect