Quelques points de sécurité important à prendre en considération pour l'usage des JSON Web Tokens (JWT).

Le point principal étant : pensez à systématiquement vérifier la signature d'un token avant d'en consommer le contenu.

Un tuto sur comment mettre en place une authentification à base de JWT avec Fastify, Prisma, le tout en TypeScript.

Bon ça fait beaucoup d'outils mais tout est adaptable et l'idée est de comprendre la logique.

Deux méthodes d'authentification distinctes qu'il est important de bien comprendre.

Un topo sur une façon t'implémenter les refresh tokens JWT de manière sécurisée.

Gestion d'un refresh token JWT avec axios côté client.

En gros lorsque l'access token est périmé, le client est censé utiliser le refresh token pour obtenir un nouvel access token. Mais il faut que ça se passe de manière totalement transparente pour le client. Ça implique donc :

1. D'intercepter l'erreur que l'API va renvoyer dans le cas où l'access token est périmé (a priori une erreur HTTP 401).
2. Effectuer une requête vers le service refresh de l'API pour récupérer un nouvel access token.
3. Sauvegarder le nouvel access token au lieu de l'ancien côté client.
4. Ré-effectuer la requête prévue initialement.

Tout cela peut se faire grâce aux intercepteurs d'axios.

Utiliser JWT en Java.