JWT (JSON Web Token)

Un JSON Web Token (JWT) est un jeton compact, encodé en base64-URL, qui transporte des attributs d’identité (identifiant utilisateur, niveau d’abonnement, expiration, périmètre) signés par votre serveur d’authentification. Pour un système de commentaires, le JWT est le format attendu par Logora lors de l’intégration avec votre stack de comptes lecteurs / paywall.

Ce que Logora valide sur chaque JWT

• Algorithme de signature : RS256 / ES256 (asymétrique) par défaut. HS256 pris en charge mais déconseillé.
• La signature elle-même : vérifiée avec la clé publique de votre IdP (récupérée une fois, mise en cache).
• Émetteur (iss) : doit correspondre à l’IdP que vous avez enregistré.
• Audience (aud) : doit correspondre à votre identifiant client Logora.
• Expiration (exp) : les jetons expirés sont rejetés.
• Attributs personnalisés optionnels : niveau d’abonnement, palier de paywall, points de gamification, utilisés pour réserver les débats premium et afficher les badges.

Déconnexion backchannel (version d’avril 2026)

Lorsqu’un lecteur se déconnecte de votre site principal, votre IdP peut appeler le point de terminaison backchannel de Logora pour invalider la session active dans le widget de commentaires. Plus de sessions obsolètes, plus de situations gênantes du type « je me suis déconnecté mais je suis toujours là ». Conforme aux standards (OpenID Connect Back-Channel Logout 1.0).

Pièges courants

• Décalage d’horloge entre le serveur de votre IdP et celui de Logora, résolu par une tolérance de 30 s sur exp et iat.
• Jetons de rafraîchissement pour les sessions de lecture longues : durée de vie de 15 à 30 min recommandée.
• Nommage des attributs personnalisés : préférez des attributs avec espace de noms (https://logora.com/subscription-tier) aux noms génériques susceptibles d’entrer en collision.

Voir SSO et OAuth 2.0 / OIDC pour le contexte plus large.