JWT (JSON Web Token) adalah standar terbuka (RFC 7519) yang mendefinisikan cara kompak dan mandiri untuk mentransmisikan informasi secara aman antar pihak. Informasi ini dapat diverifikasi dan dipercaya karena ditandatangani secara digital.
JWT terdiri dari tiga bagian, dipisahkan oleh titik (.): Header, Payload, dan Signature. Header menentukan algoritma tanda tangan, Payload berisi klaim, dan Signature digunakan untuk memverifikasi bahwa pesan belum diubah.
Skenario penggunaan JWT umum
Autentikasi (skenario paling umum), pertukaran informasi (JWT dapat mentransmisikan informasi dengan aman karena dapat ditandatangani), otorisasi (mengandung informasi izin pengguna), dan implementasi single sign-on.
Jenis algoritma tanda tangan
JWT mendukung berbagai algoritma tanda tangan, terutama dibagi menjadi dua kategori: algoritma simetris berbasis HMAC (seperti HS256) dan algoritma asimetris berbasis RSA/ECDSA (seperti RS256, ES256). Algoritma simetris menggunakan kunci yang sama untuk menandatangani dan memverifikasi, algoritma asimetris menggunakan kunci privat untuk menandatangani dan kunci publik untuk memverifikasi.
Jangan menyimpan informasi sensitif (seperti kata sandi) dalam JWT karena bagian Payload hanya dikodekan Base64, tidak dienkripsi. Untuk aplikasi yang membutuhkan keamanan tinggi, disarankan menggunakan waktu kedaluwarsa yang lebih pendek dan menerapkan strategi rotasi token.
Bagaimana menangani JWT yang kedaluwarsa?
Ketika JWT kedaluwarsa, server akan menolak token ini. Cara yang direkomendasikan adalah mengimplementasikan mekanisme refresh token, di mana klien menggunakan refresh token untuk mendapatkan token akses baru tanpa meminta pengguna untuk login kembali. Refresh token biasanya memiliki masa berlaku yang lebih lama, tetapi harus disimpan dengan hati-hati.
Secara ketat, JWT dirancang sebagai token tanpa status dan tidak dapat benar-benar dicabut. Namun, ada beberapa solusi umum: memelihara daftar hitam token yang dicabut (yang mungkin menghilangkan keuntungan tanpa status JWT), menggunakan waktu kedaluwarsa yang lebih pendek dengan refresh token, atau menyematkan identifikasi versi dalam token, di mana server dapat menolak versi lama.
Perbedaan antara JWT dan session?
JWT adalah token mandiri yang mengandung semua informasi yang diperlukan, cocok untuk sistem terdistribusi, tidak memerlukan penyimpanan status sesi di server. Session berbasis penyimpanan sisi server, memerlukan pemeliharaan status sesi, lebih cocok untuk arsitektur server tunggal. JWT lebih ramah terhadap ekstensi, tetapi pencabutan kompleks; Session mudah dicabut, tetapi kurang skalabel.