JWT (JSON Web Token) ist ein offener Standard (RFC 7519), der eine kompakte und eigenständige Methode zur sicheren Übertragung von Informationen zwischen Parteien definiert. Diese Informationen können verifiziert und vertraut werden, da sie digital signiert sind.
JWT besteht aus drei Teilen, die durch Punkte (.) getrennt sind: Kopfzeile (Header), Nutzdaten (Payload) und Signatur (Signature). Die Kopfzeile gibt den Signaturalgorithmus an, die Nutzdaten enthalten Ansprüche, und die Signatur dient zur Überprüfung, dass die Nachricht nicht verändert wurde.
Häufige Anwendungsfälle für JWT
Authentifizierung (häufigster Anwendungsfall), Informationsaustausch (JWT kann Informationen sicher übertragen, da sie signiert werden können), Autorisierung (enthält Benutzerberechtigungen) und Implementierung von Single Sign-On.
Arten von Signaturalgorithmen
JWT unterstützt verschiedene Signaturalgorithmen, die hauptsächlich in zwei Kategorien unterteilt sind: HMAC-basierte symmetrische Algorithmen (z.B. HS256) und RSA/ECDSA-basierte asymmetrische Algorithmen (z.B. RS256, ES256). Symmetrische Algorithmen verwenden denselben Schlüssel zum Signieren und Verifizieren, asymmetrische Algorithmen verwenden einen privaten Schlüssel zum Signieren und einen öffentlichen Schlüssel zum Verifizieren.
Speichern Sie keine sensiblen Informationen (wie Passwörter) im JWT, da der Nutzdaten-Teil nur Base64-kodiert und nicht verschlüsselt ist. Für Anwendungen mit hohen Sicherheitsanforderungen wird empfohlen, kurze Ablaufzeiten zu verwenden und eine Token-Rotationsstrategie zu implementieren.
Wie geht man mit abgelaufenen JWT um?
Wenn ein JWT abgelaufen ist, wird der Server diesen Token ablehnen. Die empfohlene Vorgehensweise ist die Implementierung eines Refresh-Token-Mechanismus, bei dem der Client mit dem Refresh-Token einen neuen Zugriffstoken erhält, ohne dass der Benutzer sich erneut anmelden muss. Refresh-Token haben normalerweise eine längere Gültigkeitsdauer, sollten aber sorgfältig gespeichert werden.
Wie kann man JWT widerrufen?
Streng genommen sind JWT als zustandslose Token konzipiert und können nicht wirklich widerrufen werden. Es gibt jedoch einige gängige Lösungen: Pflegen einer Blacklist widerrufener Token (was den zustandslosen Vorteil von JWT zunichte machen könnte), Verwendung kurzer Ablaufzeiten in Kombination mit Refresh-Token oder Einbetten einer Versionskennung im Token, sodass der Server alte Versionen ablehnen kann.
Unterschied zwischen JWT und Session?
JWT sind eigenständige Token, die alle notwendigen Informationen enthalten und sich für verteilte Systeme eignen, da sie keine serverseitige Speicherung des Sitzungsstatus erfordern. Session basiert auf serverseitiger Speicherung und erfordert die Pflege des Sitzungsstatus, was sich besser für Einzelserver-Architekturen eignet. JWT sind erweiterungsfreundlicher, aber das Widerrufen ist komplex; Session ist leicht zu widerrufen, hat aber eine schlechtere Skalierbarkeit.