فك تشفير JWT

JWT (JSON Web Token) هو معيار مفتوح (RFC 7519) يعرف طريقة مضغوطة وذاتية لتبادل المعلومات بشكل آمن بين الأطراف. يمكن التحقق من هذه المعلومات والثقة بها لأنها موقعة رقميًا.

يتكون JWT من ثلاثة أجزاء، مفصولة بنقاط (.): الرأس (Header)، الحمولة (Payload)، والتوقيع (Signature). يحدد الرأس خوارزمية التوقيع، تحتوي الحمولة على البيانات، ويستخدم التوقيع للتحقق من أن الرسالة لم يتم العبث بها.

المصادقة (السيناريو الأكثر شيوعًا)، تبادل المعلومات (يمكن لـ JWT نقل المعلومات بشكل آمن لأنها موقعة)، التفويض (يتضمن معلومات صلاحيات المستخدم) وتنفيذ تسجيل الدخول الموحد.

يدعم JWT العديد من خوارزميات التوقيع، تنقسم أساسًا إلى فئتين: خوارزميات متماثلة تعتمد على HMAC (مثل HS256) وخوارزميات غير متماثلة تعتمد على RSA/ECDSA (مثل RS256، ES256). تستخدم الخوارزميات المتماثلة نفس المفتاح للتوقيع والتحقق، بينما تستخدم الخوارزميات غير المتماثلة المفتاح الخاص للتوقيع والمفتاح العام للتحقق.

لا تخزن معلومات حساسة (مثل كلمات المرور) في JWT لأن جزء الحمولة في JWT هو فقط مشفر بـ Base64 وليس مشفرًا. للتطبيقات التي تتطلب أمانًا عاليًا، يوصى باستخدام وقت انتهاء قصير وتنفيذ استراتيجية تناوب الرموز.

عند انتهاء صلاحية JWT، سيرفض الخادم هذا الرمز. الطريقة الموصى بها هي تنفيذ آلية رمز التحديث (Refresh Token)، حيث يستخدم العميل رمز التحديث للحصول على رمز وصول جديد دون الحاجة إلى مطالبة المستخدم بتسجيل الدخول مرة أخرى. عادةً ما يكون لرمز التحديث فترة صلاحية أطول، ولكن يجب تخزينه بحذر.

بشكل صارم، تم تصميم JWT ليكون رمزًا بدون حالة ولا يمكن إبطاله حقًا. ولكن هناك عدة حلول شائعة: الحفاظ على قائمة سوداء للرموز الملغاة (قد يلغي ميزة عدم الحالة لـ JWT)، استخدام وقت انتهاء قصير مع رمز التحديث، أو تضمين معرف الإصدار في الرمز، حيث يمكن للخادم رفض الإصدارات القديمة.

JWT هو رمز ذاتي يحتوي على جميع المعلومات الضرورية، مناسب للأنظمة الموزعة، ولا يحتاج إلى تخزين حالة الجلسة على الخادم. يعتمد Session على التخزين على جانب الخادم، ويتطلب الحفاظ على حالة الجلسة، وهو أكثر ملاءمة لبنية الخادم الواحد. JWT أكثر ملاءمة للتوسع، ولكن إبطاله معقد؛ بينما يسهل إبطال Session، ولكنه أقل قابلية للتوسع.