JWT (JSON Web Token) to otwarty standard (RFC 7519), który definiuje kompaktowy i samodzielny sposób bezpiecznego przesyłania informacji między stronami. Informacje te mogą być zweryfikowane i zaufane, ponieważ są cyfrowo podpisane.
JWT składa się z trzech części, oddzielonych kropkami (.): nagłówka (Header), ładunku (Payload) i podpisu (Signature). Nagłówek określa algorytm podpisu, ładunek zawiera deklaracje, a podpis służy do weryfikacji, czy wiadomość nie została zmieniona.
Typowe scenariusze użycia JWT
Uwierzytelnianie (najczęstszy scenariusz), wymiana informacji (JWT może bezpiecznie przesyłać informacje, ponieważ mogą być podpisane), autoryzacja (zawiera informacje o uprawnieniach użytkownika) oraz implementacja logowania jednokrotnego.
JWT obsługuje wiele algorytmów podpisu, głównie podzielonych na dwie kategorie: symetryczne algorytmy oparte na HMAC (np. HS256) i asymetryczne algorytmy oparte na RSA/ECDSA (np. RS256, ES256). Algorytmy symetryczne używają tego samego klucza do podpisywania i weryfikacji, a asymetryczne używają klucza prywatnego do podpisywania i publicznego do weryfikacji.
Wskazówki dotyczące bezpieczeństwa
Nie przechowuj wrażliwych informacji (np. haseł) w JWT, ponieważ ładunek JWT jest tylko zakodowany w Base64, a nie zaszyfrowany. W przypadku aplikacji wymagających wysokiego poziomu bezpieczeństwa zaleca się używanie krótszego czasu wygaśnięcia i wdrożenie strategii rotacji tokenów.
Co zrobić po wygaśnięciu JWT?
Po wygaśnięciu JWT serwer odrzuci ten token. Zalecanym rozwiązaniem jest wdrożenie mechanizmu tokenu odświeżania (Refresh Token), gdzie klient używa tokenu odświeżania, aby uzyskać nowy token dostępu, bez konieczności ponownego logowania użytkownika. Tokeny odświeżania zwykle mają dłuższy okres ważności, ale powinny być przechowywane ostrożnie.
Ściśle mówiąc, JWT jest zaprojektowany jako token bezstanowy i nie może być prawdziwie unieważniony. Istnieje jednak kilka popularnych rozwiązań: utrzymywanie czarnej listy unieważnionych tokenów (co może zniwelować zalety bezstanowości JWT), używanie krótszego czasu wygaśnięcia z tokenami odświeżania lub osadzanie identyfikatora wersji w tokenie, co pozwala serwerowi odrzucać starsze wersje.
Różnica między JWT a sesją?
JWT to samodzielny token zawierający wszystkie niezbędne informacje, odpowiedni dla systemów rozproszonych, nie wymagający przechowywania stanu sesji po stronie serwera. Sesja opiera się na przechowywaniu po stronie serwera i wymaga utrzymania stanu sesji, co jest bardziej odpowiednie dla architektury jednoserwerowej. JWT jest bardziej przyjazny dla skalowania, ale unieważnienie jest złożone; sesja łatwo się unieważnia, ale ma gorszą skalowalność.