Cessez d'utiliser les JWT pour l'authentification
Original : Stop Using JWTs
Pourquoi c'est important
Améliore les pratiques de sécurité web en déconseillant une technologie largement mal utilisée pour l'authentification.
Un développeur recommande d'abandonner les JWT pour la gestion des sessions utilisateur, arguant qu'ils ne sont pas conçus à cet effet et présentent des failles de sécurité. Les sessions cookies traditionnelles constituent une meilleure alternative.
Selon un document technique publié sur GitHub, les JWT (JSON Web Tokens) ne devraient pas être utilisés pour maintenir les utilisateurs connectés. L'auteur énumère plusieurs problèmes fondamentaux : la spécification JWT est conçue uniquement pour les tokens de très courte durée (5 minutes ou moins), tandis que les sessions nécessitent des durées de vie plus longues. L'authentification « sans état » n'est pas réalisable de manière sécurisée en pratique. De plus, les JWT stockant simplement un token de session sont moins efficaces et flexibles qu'un cookie de session standard, sans offrir d'avantages supplémentaires. L'auteur souligne que la spécification JWT elle-même n'est pas approuvée par les experts en sécurité, ayant historiquement permis la création de faux tokens. Il recommande d'utiliser plutôt les sessions cookies régulières et de ne pas stocker les identifiants d'authentification dans localStorage ou sessionStorage. L'auteur reconnaît que les JWT peuvent avoir des usages valides, notamment comme mécanismes de transport pour l'authentification unique (SSO) entre serveurs, usage employé par Google.