Ce billet de blog met en garde contre l'utilisation de JWT (JSON Web Tokens) sans une date d'expiration (exp claim). Sans cette date, un JWT peut rester valide indéfiniment, transformant un token compromis en un accès permanent. L'auteur explique que les JWT ne sont pas chiffrés mais signés, et que leur structure comprend des claims comme l'identifiant utilisateur, les rôles et le timestamp d'émission. Il souligne que sans expiration, un token volé peut être utilisé longtemps après sa création, même si l'utilisateur a quitté l'organisation. La solution proposée est d'ajouter une date d'expiration pour limiter la validité des tokens, bien que cela nécessite de les renouveler périodiquement. L'auteur rappelle aussi que certains packages JWT ne vérifient pas automatiquement l'expiration.
Présentation d'un outil écrit par l'auteur
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre