iku8log

Webエンジニア、SEO、Web解析等々しております。タダのメモ。

JWTの備忘録

JWTを調べたので個人備忘録として残します。

JWTの読み方はジョットらしい。

tokenを使った認証方式

session,cookieとは異なり、サーバ上にセッション情報を保持しない(ステートレス)

クライアント(ブラウザのcookieやlocalstrage)に保存して、サーバアクセス時に HTTPヘッダに付けリクエストする。

JWTはハッシュ化されたシグニチャが付加されており、改ざんすることも不可能。 JWT内に任意の情報をもたせることも可能。

JWTはヘッダー、ペイロードシグニチャで「.」区切りの3部構成。

利用場面

SPAとかスマホアプリとかかな。 一度ログイン認証などで、JWTをサーバ側で発行し、クラアイアンとに返す。 それ移行、クライアントはJWTをHTTPヘッダに付け、API通信を行う。

JWTは言わば入館証みたいなものなので、盗聴され使われると危ない。 通信のSSL化は必須でしょう。