Το JWT (JSON Web Token) είναι ένα ανοιχτό πρότυπο (RFC 7519) που ορίζει ένα συμπαγές και αυτόνομο τρόπο ασφαλούς μετάδοσης πληροφοριών μεταξύ μερών. Αυτές οι πληροφορίες μπορούν να επαληθευτούν και να εμπιστευτούν επειδή είναι ψηφιακά υπογεγραμμένες.
Το JWT αποτελείται από τρία μέρη, διαχωρισμένα με τελεία (.): την κεφαλίδα (Header), το φορτίο (Payload) και την υπογραφή (Signature). Η κεφαλίδα καθορίζει τον αλγόριθμο υπογραφής, το φορτίο περιέχει τις δηλώσεις και η υπογραφή χρησιμοποιείται για την επαλήθευση ότι το μήνυμα δεν έχει αλλοιωθεί.
Επαλήθευση ταυτότητας (η πιο συνηθισμένη χρήση), ανταλλαγή πληροφοριών (τα JWT μπορούν να μεταφέρουν πληροφορίες ασφαλώς επειδή μπορούν να υπογραφούν), εξουσιοδότηση (περιλαμβάνει πληροφορίες δικαιωμάτων χρήστη) και υλοποίηση μοναδικής σύνδεσης.
Τύποι αλγορίθμων υπογραφής
Το JWT υποστηρίζει πολλούς αλγορίθμους υπογραφής, κυρίως χωρισμένους σε δύο κατηγορίες: συμμετρικούς αλγορίθμους βασισμένους σε HMAC (π.χ. HS256) και ασύμμετρους αλγορίθμους βασισμένους σε RSA/ECDSA (π.χ. RS256, ES256). Οι συμμετρικοί αλγόριθμοι χρησιμοποιούν το ίδιο κλειδί για υπογραφή και επαλήθευση, ενώ οι ασύμμετροι χρησιμοποιούν ιδιωτικό κλειδί για υπογραφή και δημόσιο για επαλήθευση.
Μην αποθηκεύετε ευαίσθητες πληροφορίες (όπως κωδικούς) σε JWT, επειδή το φορτίο είναι μόνο κωδικοποιημένο σε Base64, όχι κρυπτογραφημένο. Για εφαρμογές υψηλής ασφάλειας, συνιστάται η χρήση μικρών χρονικών περιόδων λήξης και η εφαρμογή στρατηγικής εναλλαγής διακριτικών.
Τι να κάνετε όταν λήξει ένα JWT;
Όταν ένα JWT λήξει, ο server θα το απορρίψει. Η συνιστώμενη προσέγγιση είναι η υλοποίηση μηχανισμού ανανέωσης διακριτικού (Refresh Token), όπου ο client χρησιμοποιεί ένα διακριτικό ανανέωσης για να λάβει ένα νέο διακριτικό πρόσβασης, χωρίς να απαιτείται η επανασύνδεση του χρήστη. Τα διακριτικά ανανέωσης συνήθως έχουν μεγαλύτερη διάρκεια ζωής, αλλά πρέπει να αποθηκεύονται με προσοχή.
Πώς να ανακληθεί ένα JWT;
Αυστηρά, τα JWT σχεδιάζονται ως διακριτικά χωρίς κατάσταση και δεν μπορούν πραγματικά να ανακληθούν. Ωστόσο, υπάρχουν μερικές κοινές λύσεις: διατήρηση λίστας με ανακληθέντα διακριτικά (μπορεί να αναιρέσει τα πλεονεκτήματα των JWT), χρήση μικρών χρονικών περιόδων λήξης σε συνδυασμό με διακριτικά ανανέωσης, ή ενσωμάτωση ενός αναγνωριστικού έκδοσης στο διακριτικό, ώστε ο server να μπορεί να απορρίψει παλιές εκδόσεις.
Διαφορά μεταξύ JWT και session;
Τα JWT είναι αυτόνομα διακριτικά που περιέχουν όλες τις απαραίτητες πληροφορίες, κατάλληλα για κατανεμημένα συστήματα, χωρίς να απαιτείται αποθήκευση κατάστασης συνεδρίας στον server. Τα session βασίζονται σε αποθήκευση στον server και απαιτούν συντήρηση κατάστασης συνεδρίας, πιο κατάλληλα για αρχιτεκτονικές μεμονωμένων servers. Τα JWT είναι πιο φιλικά προς την επέκταση, αλλά η ανάκληση είναι πολύπλοκη. Τα session είναι εύκολα στην ανάκληση, αλλά έχουν κακή επεκτασιμότητα.