Pourquoi je colle une clé privée, pas une publique ?

La **clé privée signe**, la **clé publique vérifie**. Si quelqu'un récupère ta clé privée, il peut **se faire passer pour toi**. Tu publies la clé publique partout (un endpoint public /.well-known/jwks.json). C'est l'asymétrie fondamentale de la crypto à clé publique.

Que veut dire « alg: none » dans le header ?

**Un antipattern, ne l'utilise jamais**. « alg: none » veut dire un JWT non signé, n'importe qui peut le forger. Certaines bibliothèques de 2015 à 2018 l'acceptaient incorrectement (un CVE célèbre), les bibliothèques modernes (jose, jsonwebtoken) le rejettent. Cet outil le rejette aussi.

C'est quoi les claims exp, iat, nbf ?

**Claims standard** (registered dans RFC 7519) : **iat** (issued at), **exp** (expires at), **nbf** (not valid before). Verify les vérifie automatiquement. Sans exp, un jeton **n'expire jamais**, dangereux.

Mon secret ou ma clé va-t-il à votre serveur ?

**Non**. Tout se passe dans ton navigateur (la bibliothèque jose, le standard de facto de Node.js). Ouvre **DevTools → Network**, tu verras zéro requête pendant la signature. Notre serveur ne livre que du HTML/JS/CSS statique.

PS256 vs RS256, quelle est la différence ?

Les deux utilisent RSA, mais **PS256 (RSA-PSS) est la variante plus sûre**. RS256 utilise le schéma déterministe legacy (PKCS#1 v1.5), PS256 utilise un probabiliste (avec un salt aléatoire). RFC 7518 recommande PS pour les nouvelles applis, mais RS256 domine encore par pure compatibilité.

ES256 est-il meilleur que RS256 ?

**Oui, pour les nouvelles applications**. ES256 (ECDSA P-256) utilise des clés de 256 bits (vs RSA-2048), produit des jetons plus courts, signe plus vite. Auth0, Apple Sign In, AWS IAM utilisent tous ES256. Caveat : **l'ECDSA déterministe a besoin d'un bon RNG**, les bugs d'implémentation historiques ont été désastreux (le hack de la PlayStation 3). La bibliothèque jose l'implémente correctement.

Quelle longueur pour un secret HMAC ?

Pour HS256 : **au moins 256 bits (32 octets)**. Pour HS512 : au moins 512 bits. Trop court et la force brute devient faisable. Ne tape pas « secret123 », prends une chaîne aléatoire du [générateur de mots de passe](/fr/generateur-de-mots-de-passe) (32+ caractères).

Puis-je utiliser JWT pour les sessions navigateur ?

Tu peux, mais **pas recommandé**. Les JWT dans localStorage sont vulnérables au XSS. **Mieux : sessions serveur + cookies httpOnly**. Garde JWT pour API-à-API, microservices, mobile, SSO. Voir « Why JWT Sucks as a Session Token » (un article Auth0, ce qui est drôle parce qu'ils vendent littéralement du JWT).

Pourquoi trois tailles SHA (256/384/512) ?

**Tailles de sortie de hash différentes**. SHA-256 = hash de 256 bits (le plus rapide, le plus courant), SHA-384 et SHA-512 = plus gros (plus forts, mais jetons plus longs). **En pratique** : HS256/RS256/ES256 sont standards. Utilise 384 ou 512 seulement quand une réglementation l'exige (FIPS, certaines industries).

Signataire / vérificateur JWT - gratuit

JWT : signer et vérifier

Signez un nouveau JWT ou vérifiez-en un existant. Tous les algorithmes (HS/RS/ES/PS), contrôle complet de l’en-tête et de la charge utile. Fonctionne entièrement dans votre navigateur.

Algorithm

HMAC avec secret partagé. Le plus simple, le plus courant. Le secret doit faire au moins 32 caractères.

En-tête (JSON)

Charge utile (JSON)

Ajouter exp:

Secret (HMAC)

Votre secret et votre clé privée ne quittent jamais votre navigateur.

Que veut dire « signer un JWT » et pourquoi ça compte ?

Un JWT a trois parties : header, payload, signature. Les deux premières sont du base64 brut (n'importe qui peut les lire), la troisième est une signature cryptographique qui prouve que personne n'a trafiqué les données en route.

Ici tu signes un JWT ou vérifies une signature existante. On supporte chaque algorithme standard : HS256/384/512 (symétrique, basé sur un secret), RS256/384/512 (RSA), ES256/384/512 (ECDSA), PS256/384/512 (RSA-PSS).

Tout tourne en local. Ton secret ou ta clé privée ne quitte jamais ton navigateur. C'est un outil différent du décodeur JWT (qui ne fait que décoder, pas signer).

Comment l'utiliser

Mode Signer : JSON du header à gauche, JSON du payload à droite. Choisis un algorithme dans la première rangée de pilules.

HMAC (HS256/384/512) : fournis un secret partagé (string), le même secret est utilisé pour vérifier plus tard. Configuration la plus simple, la plupart des APIs utilisent HS256.

Asymétrique (RS/ES/PS) : colle une clé privée PEM (PKCS#8). Tu donnes la clé publique aux consommateurs du jeton. Plus sûr parce que l'émetteur du jeton ne connaît pas les secrets des consommateurs.

Helper exp : ajoute un claim « expires in 1h/1d/30d » au payload. Un JWT sans exp est dangereux (n'expire jamais).

Mode Vérifier : colle un JWT et la clé/secret. Coche verte = tout bon. X rouge = signature invalide, jeton expiré, ou autre problème.

Quand l'utiliser

Cinq situations courantes où tu signes ou vérifies un JWT :

Créer une session utilisateur dans ton API. Après login, génère un JWT avec user_id, role, exp, signe avec HS256 + secret.
Clé API pour une intégration partenaire. Émets un JWT long-lived (exp = +1 an), le partenaire l'attache à chaque requête.
Réinitialisation de mot de passe. Envoie un e-mail avec un lien contenant un JWT (exp = +1h, payload = user_id), l'utilisateur clique, tu vérifies.
Signatures webhook. Ton API signe le payload du webhook, le partenaire vérifie avec une clé publique avant de faire confiance.
Single Sign-On (SSO). Un identity provider (Auth0, Okta) émet un JWT, chaque appli dans l'organisation le vérifie avec la clé publique.

Pour seulement décoder un JWT (sans signer), utilise le décodeur JWT. Pour générer une paire de clés pour signer, utilise le générateur de paire de clés JWT.

Questions et réponses

HS256 pour les cas simples (une API, un client). Secret partagé, jetons plus petits, vérification plus rapide. RS256 pour beaucoup de consommateurs ou microservices : le serveur signe avec une clé privée, chaque microservice vérifie avec la clé publique (publiée comme JWKS). Standard en 2025 pour les écosystèmes d'API.

Que veut dire « signer un JWT » et pourquoi ça compte ?

Tout tourne en local. Ton secret ou ta clé privée ne quitte jamais ton navigateur. C'est un outil différent du décodeur JWT (qui ne fait que décoder, pas signer).

Comment l'utiliser

Mode Signer : JSON du header à gauche, JSON du payload à droite. Choisis un algorithme dans la première rangée de pilules.

HMAC (HS256/384/512) : fournis un secret partagé (string), le même secret est utilisé pour vérifier plus tard. Configuration la plus simple, la plupart des APIs utilisent HS256.

Helper exp : ajoute un claim « expires in 1h/1d/30d » au payload. Un JWT sans exp est dangereux (n'expire jamais).

Mode Vérifier : colle un JWT et la clé/secret. Coche verte = tout bon. X rouge = signature invalide, jeton expiré, ou autre problème.

Quand l'utiliser

Cinq situations courantes où tu signes ou vérifies un JWT :

Créer une session utilisateur dans ton API. Après login, génère un JWT avec user_id, role, exp, signe avec HS256 + secret.
Clé API pour une intégration partenaire. Émets un JWT long-lived (exp = +1 an), le partenaire l'attache à chaque requête.
Réinitialisation de mot de passe. Envoie un e-mail avec un lien contenant un JWT (exp = +1h, payload = user_id), l'utilisateur clique, tu vérifies.
Signatures webhook. Ton API signe le payload du webhook, le partenaire vérifie avec une clé publique avant de faire confiance.
Single Sign-On (SSO). Un identity provider (Auth0, Okta) émet un JWT, chaque appli dans l'organisation le vérifie avec la clé publique.

Pour seulement décoder un JWT (sans signer), utilise le décodeur JWT. Pour générer une paire de clés pour signer, utilise le générateur de paire de clés JWT.

Questions et réponses

Signataire / vérificateur JWT

Que veut dire « signer un JWT » et pourquoi ça compte ?

Comment l'utiliser

Quand l'utiliser

Questions et réponses

Outils similaires

Décodeur JWT

Générateur paire de clés JWT

Générateur paire de clés PGP

Chiffrement AES-GCM

Générateur CSR

Signataire / vérificateur JWT

Que veut dire « signer un JWT » et pourquoi ça compte ?

Comment l'utiliser

Quand l'utiliser

Questions et réponses

Outils similaires

Décodeur JWT

Générateur paire de clés JWT

Générateur paire de clés PGP

Chiffrement AES-GCM

Générateur CSR