JWT (JSON Web Token) — это открытый стандарт (RFC 7519), который определяет компактный и самодостаточный способ безопасной передачи информации между сторонами. Эта информация может быть проверена и доверена, так как она цифрово подписана.
JWT состоит из трех частей, разделенных точками (.): заголовок (Header), полезная нагрузка (Payload) и подпись (Signature). Заголовок указывает алгоритм подписи, полезная нагрузка содержит утверждения, а подпись используется для проверки того, что сообщение не было изменено.
Распространенные сценарии использования JWT
Аутентификация (наиболее распространенный сценарий), обмен информацией (JWT могут безопасно передавать информацию, так как они могут быть подписаны), авторизация (содержит информацию о правах пользователя) и реализация единого входа.
JWT поддерживает различные алгоритмы подписи, в основном разделенные на две категории: симметричные алгоритмы на основе HMAC (например, HS256) и асимметричные алгоритмы на основе RSA/ECDSA (например, RS256, ES256). Симметричные алгоритмы используют один и тот же ключ для подписи и проверки, асимметричные алгоритмы используют приватный ключ для подписи и публичный ключ для проверки.
Не храните конфиденциальную информацию (например, пароли) в JWT, так как полезная нагрузка JWT только кодируется в Base64, а не шифруется. Для приложений с высокими требованиями к безопасности рекомендуется использовать короткие сроки действия и реализовывать стратегию ротации токенов.
Что делать, когда JWT истекает?
Когда JWT истекает, сервер отклоняет этот токен. Рекомендуется реализовать механизм обновления токена (Refresh Token), где клиент использует токен обновления для получения нового токена доступа, не требуя от пользователя повторного входа. Токены обновления обычно имеют более длительный срок действия, но должны храниться с осторожностью.
Строго говоря, JWT предназначены для безсостоятельных токенов и не могут быть отозваны. Однако есть несколько распространенных решений: ведение черного списка отозванных токенов (что может нивелировать преимущество безсостоятельности JWT), использование коротких сроков действия в сочетании с токенами обновления или встраивание идентификатора версии в токен, чтобы сервер мог отклонять старые версии.
Разница между JWT и сессией?
JWT — это самодостаточный токен, содержащий всю необходимую информацию, подходит для распределенных систем и не требует хранения состояния сессии на сервере. Сессия основана на хранении состояния на сервере, требует поддержания состояния сессии и больше подходит для однопользовательской архитектуры. JWT более дружелюбен к масштабированию, но сложнее отозвать; сессии легче отозвать, но хуже масштабируются.