JWT (JSON Web Token)
Что такое JWT (JSON Web Token)?
JWT (JSON Web Token)Компактный URL-безопасный формат токена (RFC 7519) с подписанными JSON-утверждениями; используется как access token, ID token и контейнер сессии.
JSON Web Token — строка из трёх частей в Base64URL, разделённых точками: заголовка, полезной нагрузки и подписи. Заголовок указывает алгоритм подписи, payload содержит утверждения iss, sub, aud, exp и пользовательские данные, подпись позволяет получателю проверить целостность и происхождение. JWT может быть подписан (JWS) или зашифрован (JWE) и лежит в основе OAuth 2.0, OpenID Connect и межсервисной аутентификации. Без состояния хорошо масштабируется, но плохо отзывается. Фиксируйте алгоритм на сервере, проверяйте aud, iss и exp, используйте короткое время жизни и сочетайте с refresh-токенами или introspection.
● Примеры
- 01
OIDC ID-токен, подписанный RS256, возвращён в одностраничное приложение.
- 02
Access-токен с утверждениями { "sub": "u123", "scope": "read:profile", "exp": 1734567890 }.
● Частые вопросы
Что такое JWT (JSON Web Token)?
Компактный URL-безопасный формат токена (RFC 7519) с подписанными JSON-утверждениями; используется как access token, ID token и контейнер сессии. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает JWT (JSON Web Token)?
Компактный URL-безопасный формат токена (RFC 7519) с подписанными JSON-утверждениями; используется как access token, ID token и контейнер сессии.
Как защититься от JWT (JSON Web Token)?
Защита от JWT (JSON Web Token) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия JWT (JSON Web Token)?
Распространённые альтернативные названия: JSON Web Token.