JWT Best Practices
BCP IETF RFC 8725 sécurité JWT.
Définition
RFC 8725 recommande : valider explicitement alg attendu, n'accepter que les algorithmes prévus, vérifier issuer + audience + expiration, key rotation régulière, limiter taille tokens, ne jamais stocker secrets clients, préférer asymmetric pour distributed validation. Liste les attaques connues : alg=none, key confusion, JWS/JWE substitution.
Origine
IETF OAuth WG, RFC 8725 publié février 2020.
Usage
Référence pour développeurs et auditors de sécurité qui doivent implémenter ou réviser une utilisation sécurisée de JWT.