12. Privacy Considerations (Considérations relatives à la vie privée)
Les JWT peuvent contenir des informations sensibles sur la vie privée concernant des individus. Lorsque c'est le cas, des mesures doivent être prises pour empêcher la divulgation de ces informations à des parties non autorisées. Une approche consiste à utiliser des JWT chiffrés et à authentifier le JWT avec chiffrement. Les créateurs de JWT doivent veiller à ne pas inclure d'informations personnellement identifiables (PII) ou d'autres informations sensibles dans un JWT, à moins que des protections appropriées ne soient prises pour que ces informations ne soient pas divulguées à des parties non autorisées.
Notez que même lorsqu'un JWT est chiffré, les noms de revendications dans le JWT Claims Set sont toujours visibles (ils sont seulement encodés en base64url). Par conséquent, les noms de revendications sensibles eux-mêmes ne doivent pas révéler d'informations sensibles à la vie privée.
Dans de nombreux scénarios d'application, les JWT sont stockés temporairement (par exemple, transmis dans le cadre d'une requête HTTP). Cependant, dans les scénarios où les JWT sont persistés (par exemple, dans des cookies ou des bases de données), les risques pour la vie privée associés au stockage à long terme d'informations sensibles doivent être pris en compte.