JWT
JWT — токен в формате JSON
Суть в одном предложении
JWT — формат токена с утверждениями (claims) и подписью для stateless-авторизации между клиентом и сервером.
Краткое определение
JWT — формат токена, который содержит набор утверждений (claims) и может быть подписан (а иногда и зашифрован) для передачи между клиентом и сервером.
Оригинал и перевод
- Язык: английский
- Оригинал: JWT
- Расшифровка: JSON Web Token
- Буквальный перевод: веб-токен JSON
Синонимы и варианты написания
- JSON Web Token
Происхождение
JWT стандартизован для обмена данными авторизации и идентичности в веб-системах, особенно в stateless-архитектуре.
Где используется
- REST API, SPA, мобильные приложения
- Микросервисы и serverless
Когда это важно
При выборе способа хранения сессии и авторизации: JWT удобен для масштабирования, но требует продуманной политики отзыва и срока жизни.
Подробное объяснение
JWT обычно состоит из трёх частей:
- header
- payload (claims)
- signature
Типовые ошибки:
- хранить в JWT чувствительные данные (их видно, если токен не шифрован);
- делать слишком долгий срок жизни access token;
- не реализовать ротацию/отзыв токенов (revocation).
JWT удобен, но не «магическая безопасность».
Аналоги и связанные термины
- Session cookie
- OAuth 2.0
- OpenID Connect
- Refresh token
Пример использования
«Access token — короткоживущий JWT, refresh token — отдельно, с возможностью отзыва.»
Мини‑FAQ
- JWT заменяет сессии? Ответ: Может использоваться вместо серверных сессий в stateless-сценариях; отзыв и инвалидация при этом сложнее, чем с сессиями.
Смотри также
- OAuth 2.0
- Session
- CORS