JWT (JSON Web Token) è uno standard aperto (RFC 7519) che definisce un modo compatto e autosufficiente per trasmettere informazioni in modo sicuro tra le parti. Queste informazioni possono essere verificate e considerate attendibili perché sono firmate digitalmente.
Il JWT è composto da tre parti, separate da punti (.): Header, Payload e Signature. L'Header specifica l'algoritmo di firma, il Payload contiene le dichiarazioni e la Signature viene utilizzata per verificare che il messaggio non sia stato alterato.
Scenari comuni di utilizzo del JWT
Autenticazione (scenario più comune), scambio di informazioni (i JWT possono trasmettere informazioni in modo sicuro perché sono firmati), autorizzazione (contengono informazioni sui permessi dell'utente) e implementazione del single sign-on.
Tipi di algoritmi di firma
JWT supporta diversi algoritmi di firma, principalmente divisi in due categorie: algoritmi simmetrici basati su HMAC (come HS256) e algoritmi asimmetrici basati su RSA/ECDSA (come RS256, ES256). Gli algoritmi simmetrici utilizzano la stessa chiave per firmare e verificare, mentre quelli asimmetrici utilizzano una chiave privata per firmare e una pubblica per verificare.
Suggerimenti per la sicurezza
Non memorizzare informazioni sensibili (come password) nel JWT, perché il Payload è solo codificato in Base64, non crittografato. Per applicazioni che richiedono alta sicurezza, si consiglia di utilizzare tempi di scadenza brevi e implementare strategie di rotazione dei token.
Cosa fare quando un JWT scade?
Quando un JWT scade, il server rifiuterà il token. La soluzione consigliata è implementare un meccanismo di refresh token, dove il client utilizza un refresh token per ottenere un nuovo token di accesso, senza richiedere all'utente di riaccedere. I refresh token hanno generalmente una durata più lunga, ma devono essere memorizzati con cautela.
Teoricamente, i JWT sono progettati per essere token senza stato e non possono essere veramente revocati. Tuttavia, ci sono alcune soluzioni comuni: mantenere una lista nera di token revocati (potrebbe annullare il vantaggio dei JWT senza stato), utilizzare tempi di scadenza brevi con refresh token, o incorporare un identificatore di versione nel token, in modo che il server possa rifiutare le versioni vecchie.
Differenza tra JWT e session
I JWT sono token autosufficienti che contengono tutte le informazioni necessarie, adatti per sistemi distribuiti, senza bisogno di memorizzare lo stato della sessione sul server. Le session si basano sull'archiviazione lato server, richiedono la gestione dello stato della sessione e sono più adatte per architetture a server singolo. I JWT sono più adatti per l'espansione, ma la revoca è complessa; le session sono facili da revocare, ma meno scalabili.