JWT (JSON Web Token) er en åben standard (RFC 7519), der definerer en kompakt og selvstændig måde at sikkert overføre information mellem parter. Denne information kan verificeres og betroes, fordi den er digitalt signeret.
JWT består af tre dele, adskilt af punktum (.): Header, Payload og Signatur. Headeren specificerer signaturalgoritmen, Payload indeholder påstande, og Signaturen bruges til at verificere, at beskeden ikke er blevet ændret.
Almindelige brugsscenarier for JWT
Autentificering (det mest almindelige scenarie), informationsudveksling (JWT kan sikkert overføre information, fordi de kan signeres), autorisation (indeholder brugerrettigheder) og implementering af single sign-on.
Typer af signaturalgoritmer
JWT understøtter flere signaturalgoritmer, hovedsageligt opdelt i to kategorier: HMAC-baserede symmetriske algoritmer (f.eks. HS256) og RSA/ECDSA-baserede asymmetriske algoritmer (f.eks. RS256, ES256). Symmetriske algoritmer bruger den samme nøgle til signering og validering, asymmetriske algoritmer bruger en privat nøgle til signering og en offentlig nøgle til validering.
Gem ikke følsom information (som adgangskoder) i JWT, da Payload-delen kun er Base64-kodet, ikke krypteret. Til applikationer med høj sikkerhed anbefales det at bruge korte udløbstider og implementere token-rotationsstrategier.
Hvad gør man, når JWT er udløbet?
Når en JWT er udløbet, vil serveren afvise dette token. Den anbefalede tilgang er at implementere en refresh token-mekanisme, hvor klienten bruger en refresh token til at få et nyt access token uden at kræve, at brugeren logger ind igen. Refresh tokens har typisk en længere levetid, men bør opbevares forsigtigt.
Hvordan tilbagekaldes en JWT?
Strengt taget er JWT designet som stateless tokens og kan ikke rigtigt tilbagekaldes. Men der er flere almindelige løsninger: Vedligehold en sortliste over tilbagekaldte tokens (kan modvirke JWT's stateless fordel), brug korte udløbstider kombineret med refresh tokens, eller inkluder en versionsidentifikator i tokenet, som serveren kan bruge til at afvise gamle versioner.
Forskellen mellem JWT og session?
JWT er selvstændige tokens, der indeholder al nødvendig information, egnet til distribueret systemer og kræver ikke, at serveren gemmer sessionstilstand. Sessioner er baseret på server-side lagring og kræver vedligeholdelse af sessionstilstand, hvilket er mere egnet til enkelt-serverarkitekturer. JWT er mere skalerbar, men tilbagekaldelse er komplekst; Sessioner er nemme at tilbagekalde, men mindre skalerbare.