JSON Web Token (JWT) is een soort van methode om informatie op een veilige manier te verzenden met behulp van een JSON-object. Het is een open standaard (RFC 7519). Zoals de naam al aangeeft, worden de benodigde gegevens in de token geplaatst en versleuteld voor gebruik.

JWT wordt benadrukt als een ondertekend token (signed token). Bij het gebruik van een openbaar/privé-sleutelpaar om te ondertekenen, garandeert deze handtekening dat alleen de partij die de privésleutel bezit, het token heeft ondertekend. Dit betekent dat de server die de sleutel bezit, kan weten of dit token legitiem is.

JWT-structuur

JWT is samengesteld uit een header (Header), payload (Payload) en handtekening (Signature).

Elk onderdeel wordt Base64-gecodeerd en gescheiden door een punt (.).

Header

{
    "alg": "HS256",
    "typ": "JWT"

De header bevat twee belangrijke informatiedelen: het type van het token (typ) en het gebruikte ondertekeningsalgoritme (alg). Het ondertekeningsalgoritme wordt gebruikt om de handtekening te genereren en te verifiëren.

typ wordt ingesteld op "JWT" en alg wordt geschreven als HMAC, SHA256, enz. In het bovenstaande voorbeeld betekent dit dat het HS256-algoritme met de privésleutel wordt gebruikt.

Payload

{
    "sub": "1234567890",
    "name": "John Doe",
    "iat": 1516239022

De payload bevat claims die je wilt doorgeven via het token. Gebruikersidentiteitsgegevens of eigenschappen van het token worden opgeslagen in de vorm van key-value. Met andere woorden, je kunt er alles in stoppen!

Volgens de standaardspecificatie wordt de naam van de sleutel compact gedefinieerd met 3 letters.

Geregistreerde claims zijn als volgt.

• iss (Issuer): De token-uitgever (bevat de unieke identificatiegegevens van de token-uitgever)
• sub (Subject): De entiteit waar het token voor is bedoeld
• aud (Audience): De ontvanger van het token
• exp (Expiration Time): De vervaldatum van het token (na deze datum is het niet langer geldig)
• nbf (Not Before): De activeringsdatum van het token (het token kan voor deze datum niet worden gebruikt)
• iat (Issued At): De tijdstempel van de token-uitgifte
• jti (JWT Id): De JWT-token-identificatie (een waarde om uitgevende instanties te onderscheiden als er meerdere zijn)

Je kunt andere waarden toevoegen als je dat nodig hebt.

De payload is echter geen versleutelde, ondertekende waarde, dus bevat geen gevoelige gegevens.

Het kan door iedereen worden bekeken als het wordt gedecodeerd.jwt.ioJe kunt het ook direct controleren op de site.

Handtekening

HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    your-256-bit-secret

De header en de payload worden Base64-gecodeerd, met een punt (.) als scheidingsteken, en vervolgens ondertekend met de privésleutel van de server, 'your-256-bit-secret'.

Daarom kan alleen de server die het token heeft uitgegeven de handtekening (Signature) met de privésleutel decoderen.

Om te decoderen, kun je de handtekening decoderen met de privésleutel en vervolgens controleren of base64UrlEncode(header) overeenkomt met de headerwaarde van JWT en of base64UrlEncode(payload) overeenkomt met de payloadwaarde.

Met uitzondering van de handtekening zijn de header en de payload alleen gecodeerd, waardoor de informatie in de tekst zichtbaar is, maar de handtekening zorgt voor de integriteit en veiligheid van de informatie.

JWT is zelfstandig (Self-contained) en bevat alle benodigde informatie. JWT is ontworpen om de nadelen van stateful sessies te ondervangen, dus een aparte opslag is niet noodzakelijk.

Er is geen server-side sessiebeheer vereist, waardoor het stateless is, waardoor het schaalbaar is in gedistribueerde systemen of microservicesarchitecturen.

De handtekening (Signature), een digitale handtekening, biedt bescherming en garandeert de integriteit van de gegevens.