JWT (JSON Web Token)
Was ist JWT (JSON Web Token)?
JWT (JSON Web Token)Kompaktes, URL-sicheres Token-Format (RFC 7519) mit signierten JSON-Claims; weit verbreitet als Access Token, ID Token und Sitzungscontainer.
Ein JSON Web Token besteht aus drei Base64URL-kodierten Teilen, durch Punkte getrennt: Header, Payload und Signature. Der Header benennt den Signaturalgorithmus, das Payload tragt Claims wie iss, sub, aud, exp und beliebige Anwendungsdaten, die Signatur erlaubt dem Empfanger Integritats- und Herkunftsprufung. JWTs konnen signiert (JWS) oder verschlusselt (JWE) sein und stehen im Zentrum von OAuth 2.0, OpenID Connect und Service-to-Service-Authentifizierung. Statelessness erleichtert Skalierung, erschwert aber Revocation. Algorithmus serverseitig fixieren, aud, iss, exp validieren, kurze Lebensdauer wahlen und mit Refresh Tokens oder Token Introspection kombinieren.
● Beispiele
- 01
Ein OIDC-ID-Token, mit RS256 signiert, an eine SPA zuruckgegeben.
- 02
Access Token mit Claims { "sub": "u123", "scope": "read:profile", "exp": 1734567890 }.
● Häufige Fragen
Was ist JWT (JSON Web Token)?
Kompaktes, URL-sicheres Token-Format (RFC 7519) mit signierten JSON-Claims; weit verbreitet als Access Token, ID Token und Sitzungscontainer. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet JWT (JSON Web Token)?
Kompaktes, URL-sicheres Token-Format (RFC 7519) mit signierten JSON-Claims; weit verbreitet als Access Token, ID Token und Sitzungscontainer.
Wie funktioniert JWT (JSON Web Token)?
Ein JSON Web Token besteht aus drei Base64URL-kodierten Teilen, durch Punkte getrennt: Header, Payload und Signature. Der Header benennt den Signaturalgorithmus, das Payload tragt Claims wie iss, sub, aud, exp und beliebige Anwendungsdaten, die Signatur erlaubt dem Empfanger Integritats- und Herkunftsprufung. JWTs konnen signiert (JWS) oder verschlusselt (JWE) sein und stehen im Zentrum von OAuth 2.0, OpenID Connect und Service-to-Service-Authentifizierung. Statelessness erleichtert Skalierung, erschwert aber Revocation. Algorithmus serverseitig fixieren, aud, iss, exp validieren, kurze Lebensdauer wahlen und mit Refresh Tokens oder Token Introspection kombinieren.
Wie schützt man sich gegen JWT (JSON Web Token)?
Schutzmaßnahmen gegen JWT (JSON Web Token) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für JWT (JSON Web Token)?
Übliche alternative Bezeichnungen: JSON Web Token.
● Verwandte Begriffe
- appsec№ 575
JWT-Schwachstellen
Klassen von Implementierungsfehlern bei der JSON-Web-Token-Validierung, die das Falschen von Tokens, Rechteausweitung oder Umgehung der Authentifizierung erlauben.
- identity-access№ 749
OAuth 2.0
Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
- identity-access№ 760
OpenID Connect (OIDC)
Identitätsschicht auf Basis von OAuth 2.0, mit der Clients über signierte ID Tokens die Nutzeridentität verifizieren und Basisprofildaten abrufen können.
- identity-access№ 007
Access Token
Kurzlebige Credential, ausgestellt vom Authorization Server, mit der ein Client geschutzte Ressourcen einer API im Namen eines Nutzers oder Dienstes aufruft.
- identity-access№ 913
Refresh Token
Langlebige Credential, mit der ein Client neue kurzlebige Access Tokens beim OAuth-2.0-Authorization-Server holt, ohne dass der Nutzer sich neu anmeldet.
- identity-access№ 088
Bearer Token
Opake oder strukturierte Credential (RFC 6750), die allein durch Besitz Zugriff auf eine Ressource gewahrt - ohne Nachweis, dass der Trager der rechtmassige Inhaber ist.