jwt

JWT (JSON Web Token) est un standard de token signé, largement utilisé pour l'authentification API. Le token contient un payload JSON (identité, claims, expiration) et une signature qui prouve qu'il n'a pas été modifié. Avantage : stateless, pas besoin de session serveur. Inconvénient : révoquer un token actif est compliqué, les payloads sont lisibles par le client, et les implémentations buguées abondent (alg none, confusion HS/RS, expiration ignorée). Les articles sous ce tag posent les questions pratiques : JWT est-il adapté au cas d'usage, quelles alternatives (sessions classiques, PASETO, magic links), et comment éviter les pièges classiques qui transforment un JWT en faille grande ouverte.

Presentation Control EPIC 1 : deux weekends pour un système de login (et pourquoi c'était nécessaire)

Deux gros weekends pour construire un système de login complet. Magic link, JWT RS256, rotation atomique des tokens, et un reviewer IA qui ne laisse rien passer. Retour d'expérience sur l'EPIC 1 de Presentation Control.

24 février 2026 par Benoit

Québec, Canada

jwt

Presentation Control EPIC 1 : deux weekends pour un système de login (et pourquoi c'était nécessaire)

Gestion des cookies