JWT (JSON Web Token) är en öppen standard (RFC 7519) som definierar ett kompakt och självbärande sätt att säkert överföra information mellan parter. Denna information kan verifieras och litas på eftersom den är digitalt signerad.
JWT består av tre delar, separerade med punkter (.): huvud (Header), nyttolast (Payload) och signatur (Signature). Huvudet specificerar signaturalgoritmen, nyttolasten innehåller påståenden och signaturen används för att verifiera att meddelandet inte har manipulerats.
Vanliga användningsområden för JWT
Autentisering (det vanligaste scenariot), informationsutbyte (JWT kan säkert överföra information eftersom de kan signeras), auktorisering (innehåller användarbehörigheter) och implementering av enkel inloggning.
Typer av signaturalgoritmer
JWT stöder flera signaturalgoritmer, huvudsakligen uppdelade i två kategorier: HMAC-baserade symmetriska algoritmer (t.ex. HS256) och RSA/ECDSA-baserade asymmetriska algoritmer (t.ex. RS256, ES256). Symmetriska algoritmer använder samma nyckel för signering och verifiering, asymmetriska algoritmer använder privat nyckel för signering och publik nyckel för verifiering.
Lagra inte känslig information (som lösenord) i JWT eftersom nyttolasten i JWT endast är Base64-kodad, inte krypterad. För applikationer som kräver hög säkerhet rekommenderas kort förfallotid och implementering av tokenrotationsstrategi.
Hur hanterar man utgångna JWT?
När en JWT har gått ut kommer servern att avvisa denna token. Rekommenderad hantering är att implementera en uppdateringstoken (Refresh Token)-mekanism, där klienten använder uppdateringstoken för att få en ny åtkomsttoken utan att behöva be användaren att logga in igen. Uppdateringstoken har vanligtvis längre giltighetstid men bör lagras försiktigt.
Hur återkallar man en JWT?
Strikt taget är JWT designad som en tillståndslös token och kan inte verkligen återkallas. Men det finns några vanliga lösningar: underhåll en svartlista över återkallade tokens (kan motverka fördelen med JWT:s tillståndslöshet), använd kort förfallotid i kombination med uppdateringstoken, eller bädda in en versionsidentifierare i token som servern kan använda för att avvisa gamla versioner.
Skillnad mellan JWT och session?
JWT är en självbärande token som innehåller all nödvändig information, lämplig för distribuerade system och kräver ingen serverlagring av sessionstillstånd. Session baseras på serverlagring och kräver underhåll av sessionstillstånd, mer lämplig för enkelserverarkitektur. JWT är mer anpassningsvänlig men återkallning är komplext; Session är enkelt att återkalla men mindre anpassningsbar.