JWT (JSON Web Token), taraflar arasında güvenli bir şekilde bilgi aktarmak için kullanılan, kompakt ve kendi kendine yeten bir açık standarttır (RFC 7519). Bu bilgi, dijital olarak imzalandığı için doğrulanabilir ve güvenilirdir.
JWT, nokta (.) ile ayrılmış üç bölümden oluşur: Başlık (Header), Yük (Payload) ve İmza (Signature). Başlık, imza algoritmasını belirtir, yük iddiaları içerir, imza ise mesajın değiştirilmediğini doğrulamak için kullanılır.
Yaygın JWT kullanım senaryoları
Kimlik doğrulama (en yaygın senaryo), bilgi değişimi (JWT'ler imzalanabildiği için bilgiyi güvenli bir şekilde aktarabilir), yetkilendirme (kullanıcı izin bilgilerini içerir) ve tek oturum açma uygulamaları.
JWT, iki ana kategoriye ayrılan çeşitli imza algoritmalarını destekler: HMAC tabanlı simetrik algoritmalar (örneğin HS256) ve RSA/ECDSA tabanlı asimetrik algoritmalar (örneğin RS256, ES256). Simetrik algoritmalar aynı anahtarı imzalama ve doğrulama için kullanır, asimetrik algoritmalar ise özel anahtarla imzalama ve genel anahtarla doğrulama yapar.
JWT'nin yük bölümü şifrelenmemiş, sadece Base64 kodlanmış olduğu için hassas bilgileri (örneğin şifreler) JWT'de saklamayın. Yüksek güvenlik gerektiren uygulamalar için kısa son kullanma süreleri kullanmayı ve belirteç döndürme stratejileri uygulamayı öneririz.
JWT'nin süresi dolduğunda ne yapılmalı?
JWT'nin süresi dolduğunda, sunucu bu belirteci reddedecektir. Önerilen işlem, kullanıcının yeniden giriş yapmasını gerektirmeden, istemcinin yeni bir erişim belirteci almak için yenileme belirteci (Refresh Token) mekanizmasını kullanmasıdır. Yenileme belirteçleri genellikle daha uzun bir geçerlilik süresine sahiptir, ancak dikkatli bir şekilde saklanmalıdır.
JWT, tasarım gereği durumsuz bir belirteçtir ve gerçekten iptal edilemez. Ancak birkaç yaygın çözüm vardır: İptal edilen belirteçlerin bir kara listesini tutmak (JWT'nin durumsuz avantajını ortadan kaldırabilir), kısa son kullanma süreleri ile yenileme belirteçlerini kullanmak veya belirteçlere bir sürüm tanımlayıcısı gömerek sunucunun eski sürümleri reddetmesini sağlamak.
JWT ile oturum arasındaki fark nedir?
JWT, tüm gerekli bilgileri içeren, dağıtılmış sistemler için uygun, sunucu tarafında oturum durumunu saklamaya ihtiyaç duymayan kendi kendine yeten bir belirteçtir. Oturum, sunucu tarafında saklamaya dayanır ve oturum durumunu sürdürmeyi gerektirir, bu da tek sunucu mimarileri için daha uygundur. JWT genişletmeye daha uygunken, iptal karmaşıktır; oturum ise iptal etmesi kolaydır ancak genişletilebilirliği daha düşüktür.