JWT (JSON Web Token) je otevřený standard (RFC 7519), který definuje kompaktní a soběstačný způsob bezpečného přenosu informací mezi stranami. Tyto informace lze ověřit a důvěřovat jim, protože jsou digitálně podepsány.
JWT se skládá ze tří částí, oddělených tečkami (.): hlavička (Header), náklad (Payload) a podpis (Signature). Hlavička určuje podpisový algoritmus, náklad obsahuje deklarace a podpis slouží k ověření, že zpráva nebyla změněna.
Běžné scénáře použití JWT
Autentizace (nejběžnější scénář), výměna informací (JWT může bezpečně přenášet informace, protože mohou být podepsány), autorizace (obsahuje informace o uživatelských oprávněních) a implementace jednotného přihlašování.
Typy podpisových algoritmů
JWT podporuje různé podpisové algoritmy, které se dělí hlavně do dvou kategorií: symetrické algoritmy založené na HMAC (např. HS256) a asymetrické algoritmy založené na RSA/ECDSA (např. RS256, ES256). Symetrické algoritmy používají stejný klíč pro podpis i ověření, asymetrické algoritmy používají soukromý klíč pro podpis a veřejný klíč pro ověření.
Neukládejte citlivé informace (jako hesla) v JWT, protože náklad JWT je pouze kódován v Base64, ne šifrován. Pro aplikace vyžadující vysokou bezpečnost doporučujeme použít kratší dobu expirace a implementovat strategii rotace tokenů.
Jak postupovat po expiraci JWT?
Po expiraci JWT server tento token odmítne. Doporučený způsob je implementace mechanismu obnovovacího tokenu (Refresh Token), kde klient použije obnovovací token k získání nového přístupového tokenu, aniž by bylo nutné, aby se uživatel znovu přihlašoval. Obnovovací tokeny obvykle mají delší platnost, ale měly by být uloženy opatrně.
Přísně vzato, JWT je navržen jako bezstavový token a nemůže být skutečně zrušen. Existuje však několik běžných řešení: udržování černé listiny zrušených tokenů (což může negovat výhody bezstavovosti JWT), použití kratší doby expirace v kombinaci s obnovovacími tokeny nebo vložení identifikátoru verze do tokenu, což umožní serveru odmítnout starší verze.
Rozdíl mezi JWT a session?
JWT je soběstačný token, který obsahuje všechny potřebné informace, je vhodný pro distribuované systémy a nevyžaduje ukládání stavu relace na serveru. Session je založena na ukládání na straně serveru a vyžaduje udržování stavu relace, což je vhodnější pro architekturu s jedním serverem. JWT je lépe rozšiřitelný, ale zrušení je složité; Session je snadné zrušit, ale rozšiřitelnost je horší.