Un JWT (JSON Web Token) és un estàndard obert (RFC 7519) que defineix una manera compacta i autònoma per transmetre informació de manera segura entre parts. Aquesta informació pot ser verificada i confiable perquè està signada digitalment.
El JWT consta de tres parts, separades per punts (.): la capçalera (Header), la càrrega útil (Payload) i la signatura (Signature). La capçalera especifica l'algorisme de signatura, la càrrega útil conté les afirmacions i la signatura s'utilitza per verificar que el missatge no ha estat alterat.
Escenaris comuns d'ús del JWT
Autenticació (l'escenari més comú), intercanvi d'informació (els JWT poden transmetre informació de manera segura perquè poden ser signats), autorització (conté informació sobre els permisos de l'usuari) i implementació de l'inici de sessió únic.
Tipus d'algorismes de signatura
El JWT admet diversos algorismes de signatura, principalment dividits en dues categories: algorismes simètrics basats en HMAC (com HS256) i algorismes asimètrics basats en RSA/ECDSA (com RS256, ES256). Els algorismes simètrics utilitzen la mateixa clau per signar i verificar, mentre que els algorismes asimètrics utilitzen una clau privada per signar i una clau pública per verificar.
No emmagatzemis informació sensible (com contrasenyes) en el JWT, perquè la càrrega útil només està codificada en Base64, no xifrada. Per a aplicacions que requereixin alta seguretat, es recomana utilitzar temps de caducitat curts i implementar estratègies de rotació de tokens.
Què fer quan un JWT caduca?
Quan un JWT caduca, el servidor rebutjarà aquest token. Es recomana implementar un mecanisme de token de refresc (Refresh Token), on el client utilitza el token de refresc per obtenir un nou token d'accés sense necessitat que l'usuari torni a iniciar sessió. Els tokens de refresc solen tenir una vida útil més llarga, però s'han d'emmagatzemar amb cura.
Com es pot revocar un JWT?
Estrictament parlant, els JWT estan dissenyats per ser tokens sense estat i no poden ser revocats realment. Però hi ha algunes solucions comunes: mantenir una llista negra de tokens revocats (pot contrarestar l'avantatge dels JWT sense estat), utilitzar temps de caducitat curts combinats amb tokens de refresc o incloure un identificador de versió en el token, de manera que el servidor pugui rebutjar versions antigues.
Quina diferència hi ha entre JWT i session?
El JWT és un token autònom que conté tota la informació necessària, ideal per a sistemes distribuïts, sense necessitat d'emmagatzemar l'estat de la sessió al servidor. Les sessions es basen en l'emmagatzematge al costat del servidor, requereixen mantenir l'estat de la sessió i són més adequades per a arquitectures d'un sol servidor. Els JWT són més amigables amb l'escalabilitat, però la revocació és complexa; les sessions són fàcils de revocar, però menys escalables.