※本ページにはプロモーション(広告)が含まれています
セキュリティ
ひとことでいうと
JSON形式の認証情報をBase64URLエンコードと電子署名でやり取りする、コンパクトなトークン形式です。
詳しい解説
JWTは、当事者間で情報を安全にJSONオブジェクトとして転送するためのオープン標準(RFC 7519)です。ヘッダー・ペイロード・署名の3パートをドット(.)で連結したコンパクトな文字列で、それぞれBase64URLでエンコードされます。署名にはHMAC SHA256などの共通鍵方式や、RSA・ECDSAなどの公開鍵方式を利用でき、改ざんを検知できます。サーバーがトークンを発行し、クライアントが以降のリクエストでAuthorizationヘッダーに付与する使い方が一般的で、セッション情報をサーバー側で保持しなくてよいステートレスな認証を実現します。OAuth 2.0のID Tokenや、OpenID ConnectでもJWTが利用されています。
具体的な場面
REST APIで認証付きリクエストを送る際、ログイン時に発行されたJWTを「Authorization: Bearer xxxxx」ヘッダーに付けて送信し、サーバーは署名を検証してユーザーを識別します。
別の呼び方
JSON Web Token
ジョットトークン
JWT Token
ジェイダブリュティー
ジョットトークン
JWT Token
ジェイダブリュティー
minto.tech スマホ(iPhone/Android)・パソコン(Windows/Mac)・Office・Wi-Fi・AIツールの「できない」「困った」を解決する実用ガイド。トラブル対処法とノウハウが満載のお助けサイトです。