JWT 検証

JWT（JSON Web Token）は、RFC 7519で定義されたオープンスタンダードで、情報を安全に伝送するためのコンパクトで自己完結型の方法を定義しています。この情報はデジタル署名されているため、検証可能で信頼できます。

JWTは、ドット（.）で区切られた3つの部分で構成されています：ヘッダー（Header）、ペイロード（Payload）、署名（Signature）。ヘッダーは署名アルゴリズムを指定し、ペイロードはクレームを含み、署名はメッセージが改ざんされていないことを検証するために使用されます。

認証（最も一般的なシナリオ）、情報交換（JWTは署名されているため安全に情報を伝送できます）、認可（ユーザーの権限情報を含む）、およびシングルサインオンの実装。

JWTは、HMACベースの対称アルゴリズム（HS256など）とRSA/ECDSAベースの非対称アルゴリズム（RS256、ES256など）の2つの主要なカテゴリに分かれる複数の署名アルゴリズムをサポートしています。対称アルゴリズムは同じ鍵で署名と検証を行い、非対称アルゴリズムは秘密鍵で署名し、公開鍵で検証します。

JWTにパスワードなどの機密情報を保存しないでください。JWTのペイロード部分はBase64エンコードされているだけで、暗号化されていません。高いセキュリティが必要なアプリケーションでは、短い有効期限を設定し、トークンローテーション戦略を実施することをお勧めします。

JWTが期限切れになると、サーバーはこのトークンを拒否します。推奨される処理方法は、リフレッシュトークン（Refresh Token）メカニズムを実装することです。クライアントはリフレッシュトークンを使用して新しいアクセストークンを取得し、ユーザーに再ログインを要求する必要はありません。リフレッシュトークンは通常、より長い有効期限を持っていますが、慎重に保存する必要があります。

厳密に言えば、JWTはステートレスなトークンとして設計されており、本当に無効にすることはできません。しかし、一般的な解決策がいくつかあります：無効にされたトークンのブラックリストを維持する（JWTのステートレスな利点を打ち消す可能性があります）、短い有効期限を設定してリフレッシュトークンと組み合わせる、またはトークンにバージョン識別子を埋め込み、サーバーが古いバージョンを拒否できるようにする。

JWTは自己完結型のトークンで、すべての必要な情報を含んでおり、分散システムに適しており、サーバー側でセッション状態を維持する必要はありません。セッションはサーバー側のストレージに基づいており、セッション状態を維持する必要があり、単一サーバーアーキテクチャに適しています。JWTは拡張に適していますが、無効化は複雑です；セッションは無効化が容易ですが、拡張性は劣ります。