Base64URL et JWT : décoder ne suffit pas
JWT utilise Base64URL. Voici ce que vous pouvez lire et ce que vous devez vérifier.
Trois parties sûres pour les URL
Un JWT signé contient souvent header, payload et signature, séparés par des points. Le format transporte des claims dans une chaîne compacte.
Deux caractères changent
Base64URL remplace + par - et / par _. JWT omet aussi le padding = final. Le token circule mieux dans les en-têtes et les URL.
Lire ne valide rien
Vous pouvez lire iss, sub, aud ou exp dans le payload. Cette lecture ne prouve ni la signature ni l’émetteur. Le serveur doit valider la signature ou le MAC.
Surveiller alg
L’application choisit les algorithmes acceptés. Une valeur alg inattendue doit faire échouer la validation.
Déboguer proprement
Séparez sur les points, décodez les deux premières parties en Base64URL, ajoutez le padding si l’outil le demande, puis vérifiez signature, émetteur, audience et temps.