Quelles sont les 3 parties d’un JWT?
- Header: type et algorithme de signature
- Payload/Body: données du jeton
- Signature: assure l’intégrité du contenu
À quoi sert la signature dans un JWT?
À garantir que le token n’a pas été modifié et provient bien du serveur.
Où peut-on sotkcer le JWT dans le navigateur?
- Cookies
- Local storage
Quelle est la différence principale entre cookie et local storage pour JWT?
- Cookie: envoyé automatiquement à chaque requête et peut être HTTP-Only
- Local Storage: accessible en JavaScript et vulnérable au XSS
Qu’arrive-t-il si quelqu’un vole notre JWT?
Il peut se faire passer par l’utilisateur tant que le token est valide.
Comment peut-on voler un JWT?
- Avec une attaque XSS
- En interceptant le réseau si pas de HTTPS
- Dans le stockage non sécurisé (local storage, cookies sans protections)
Quelles sont 2 protections de base contre les JWT volés?
- Expiration courte du token
- Associer le JWT à l’adresse IP du client
Pourqoi ajouter un timestamp dans le JWT?
Pour réduire la fenêtre de temps d’exploitation en cas de vol.
Pourqoi ajouter l’adresse IP dans le JWT?
Pour empêcher son utilisation depuis une autre machine.
Pourqoi ne pas utiliser l’adresse MAC dans le JWT?
Parce qu’elle n’est pas accessible au serveur via HTTP.
Comment le backend peut être sûr que l’IP transmise vient bien du frontend?
En faisant confiance seulement aux en-têtes envoyés par l’infrastructure connue (reverse proxy) et pas à ceux provenant directement du client (ex: Postman).
(Essentiellement: filtrage / headers de confiance)
Que se passe-t-il avec un JWT lorsqu’on se déconnecte (logout)?
- On ne peut pas l’invalidé directement
- On attend son expiration ou on gère une liste de jetons révoqués côté serveur
Pourquoi utiliser un refresh token?
Pour obtenir un nouveau JWT sans redemander le mdp, afin de maintenir une session longue tout en gardant un JWT à courte durée de vie.
Comment invalider tous les JWT?
En changeant la clé signature côté serveur.
Comment invalider le JWT d’un utilisateur précis?
Avec une liste noire (blacklist) ou un identifiant de version stocké côté serveur.
Pourqoi l’utilisation de JWT est complexe en microservices?
- Les services doivent partager l’état de révocation
- Le JWT est normalement stateless
Stocker le JWT dans un cookie est-il une mauvaise idée?
Non
Avec les bonnes protections (HTTP-Only, Secure, SameSite), c’est souvent la meilleure solution.
Quel est l’endroit le plus sécuritaire pour stocker un JWT?
Cookie avec:
* HttpOnly = true
* Secure = true
* SameSite = Lax
* Tokens CSRF pour les actions sensibles
Pourquoi le Local Storage est moins sécuritaire?
Parce qu’il est accessible via JavaScript, donc vulnérable au XSS.
