JWT (JSON Web Token)
O que é JWT (JSON Web Token)?
JWT (JSON Web Token)Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao.
Um JSON Web Token e uma string de tres partes em Base64URL unidas por pontos: header, payload e assinatura. O header declara o algoritmo de assinatura; o payload transporta claims como iss, sub, aud, exp e dados personalizados; a assinatura permite ao destinatario verificar integridade e origem. JWT pode ser assinado (JWS) ou cifrado (JWE) e e central em OAuth 2.0, OpenID Connect e autenticacao entre servicos. A natureza sem estado simplifica o escalonamento mas complica a revogacao. Fixe o algoritmo no servidor, valide aud, iss e exp, prefira vidas curtas e combine com refresh tokens ou introspection.
● Exemplos
- 01
Um ID token OIDC assinado em RS256 devolvido a uma SPA.
- 02
Access token com claims { "sub": "u123", "scope": "read:profile", "exp": 1734567890 }.
● Perguntas frequentes
O que é JWT (JSON Web Token)?
Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa JWT (JSON Web Token)?
Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao.
Como funciona JWT (JSON Web Token)?
Um JSON Web Token e uma string de tres partes em Base64URL unidas por pontos: header, payload e assinatura. O header declara o algoritmo de assinatura; o payload transporta claims como iss, sub, aud, exp e dados personalizados; a assinatura permite ao destinatario verificar integridade e origem. JWT pode ser assinado (JWS) ou cifrado (JWE) e e central em OAuth 2.0, OpenID Connect e autenticacao entre servicos. A natureza sem estado simplifica o escalonamento mas complica a revogacao. Fixe o algoritmo no servidor, valide aud, iss e exp, prefira vidas curtas e combine com refresh tokens ou introspection.
Como se defender contra JWT (JSON Web Token)?
As defesas contra JWT (JSON Web Token) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para JWT (JSON Web Token)?
Nomes alternativos comuns: JSON Web Token.
● Termos relacionados
- appsec№ 575
Vulnerabilidades em JWT
Classes de falhas de implementacao na validacao de JSON Web Tokens que permitem forjar tokens, escalar privilegios ou contornar a autenticacao.
- identity-access№ 749
OAuth 2.0
Framework aberto de autorização que permite ao dono de um recurso conceder a uma aplicação terceira acesso limitado a uma API sem partilhar credenciais.
- identity-access№ 760
OpenID Connect (OIDC)
Camada de identidade construída sobre OAuth 2.0 que permite aos clientes verificar a identidade de um utilizador e obter dados básicos de perfil através de ID tokens assinados.
- identity-access№ 007
Access Token
Credencial de curta duracao emitida por um servidor de autorizacao que o cliente apresenta a uma API para aceder a recursos protegidos em nome do utilizador ou servico.
- identity-access№ 913
Refresh Token
Credencial de longa duracao usada para obter novos access tokens de curta duracao num servidor OAuth 2.0 sem novo login do utilizador.
- identity-access№ 088
Bearer Token (token ao portador)
Credencial opaca ou estruturada (RFC 6750) que concede acesso a um recurso apenas por posse, sem prova de que o portador e o legitimo dono.