JWT (JSON Web Token) adalah piawaian terbuka (RFC 7519) yang mentakrifkan cara yang padat dan berdikari untuk menghantar maklumat dengan selamat antara pihak. Maklumat ini boleh disahkan dan dipercayai kerana ia ditandatangani secara digital.
JWT terdiri daripada tiga bahagian, dipisahkan oleh titik (.): Kepala (Header), Muatan (Payload), dan Tandatangan (Signature). Kepala menentukan algoritma tandatangan, muatan mengandungi pengakuan, dan tandatangan digunakan untuk mengesahkan mesej tidak diubah.
Senario penggunaan JWT biasa
Pengesahan (senario paling biasa), pertukaran maklumat (JWT boleh menghantar maklumat dengan selamat kerana ia boleh ditandatangani), kebenaran (mengandungi maklumat kebenaran pengguna) dan pelaksanaan log masuk tunggal.
Jenis algoritma tandatangan
JWT menyokong pelbagai algoritma tandatangan, terbahagi kepada dua kategori utama: algoritma simetri berasaskan HMAC (seperti HS256) dan algoritma asimetri berasaskan RSA/ECDSA (seperti RS256, ES256). Algoritma simetri menggunakan kunci yang sama untuk menandatangani dan mengesahkan, algoritma asimetri menggunakan kunci peribadi untuk menandatangani dan kunci awam untuk mengesahkan.
Jangan simpan maklumat sensitif (seperti kata laluan) dalam JWT kerana bahagian muatan JWT hanya dikodkan Base64, tidak disulitkan. Untuk aplikasi yang memerlukan keselamatan tinggi, disyorkan untuk menggunakan masa tamat yang pendek dan melaksanakan strategi putaran token.
Bagaimana mengendalikan JWT yang telah tamat?
Apabila JWT tamat, pelayan akan menolak token ini. Cara yang disyorkan adalah melaksanakan mekanisme token segar (Refresh Token), di mana klien menggunakan token segar untuk mendapatkan token akses baru tanpa memerlukan pengguna log masuk semula. Token segar biasanya mempunyai tempoh sah yang lebih panjang tetapi harus disimpan dengan berhati-hati.
Bagaimana membatalkan JWT?
Secara ketat, JWT direka sebagai token tanpa keadaan dan tidak boleh dibatalkan sepenuhnya. Tetapi terdapat beberapa penyelesaian biasa: mengekalkan senarai hitam token yang dibatalkan (mungkin mengurangkan kelebihan JWT tanpa keadaan), menggunakan masa tamat yang pendek dengan token segar, atau menyematkan pengecam versi dalam token, pelayan boleh menolak versi lama.
Perbezaan antara JWT dan sesi?
JWT adalah token yang mengandungi semua maklumat yang diperlukan, sesuai untuk sistem teragih, tidak memerlukan pelayan menyimpan keadaan sesi. Sesi berasaskan penyimpanan pelayan, memerlukan penyelenggaraan keadaan sesi, lebih sesuai untuk seni bina pelayan tunggal. JWT lebih mesra pengembangan tetapi pembatalan kompleks; Sesi mudah dibatalkan tetapi kurang skalabiliti.