JWT (JSON Web Token)

Un JWT (JSON Web Token, RFC 7519) est un standard ouvert pour transmettre des informations entre parties sous forme d'un objet JSON sécurisé et autonome. Un JWT est composé de trois parties séparées par des points : le Header (algorithme de signature), le Payload (les claims — données utilisateur, expiration, émetteur) et la Signature (vérifie l'intégrité).

Exemple : `eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NSJ9.signature`. Les algorithmes de signature courants : HS256 (HMAC-SHA256, secret partagé), RS256 (RSA, plus sécurisé pour les API publiques), ES256 (ECDSA). Les claims standards : iss (issuer), sub (subject), exp (expiration), iat (issued at), aud (audience).

Les JWT sont massivement utilisés dans OAuth 2.0 / OpenID Connect pour les ID Tokens et Access Tokens. Avantages : stateless (pas besoin de stockage côté serveur), interopérable. Risques : ne jamais stocker de données sensibles dans le payload (lisible par tous), bien vérifier la signature, utiliser des durées courtes (15 min) avec des refresh tokens.