JWT
Även känt som: JSON Web Token
Kompakt, krypto-signerat token-format för autentisering och informationsöverföring mellan system. De facto-standard för modern webbautentisering.
JWT (JSON Web Token) är ett tokenformat som innehåller signerad JSON-data. Det används främst för autentisering: när du loggar in i en modern webbapp får du ett JWT tillbaka, som sedan skickas med varje följande anrop som bevis på att du är inloggad. Servern kan verifiera signaturen utan att slå upp sessionen i en databas — vilket gör JWT snabbt och skalbart.
Ett JWT består av tre delar separerade av punkter: header (algoritm), payload (data, t.ex. user ID och roller), signature (kryptografisk signatur). Vanligaste signeringsalgoritmen är HMAC-SHA256 (symmetrisk, snabb) eller RSA/ECDSA (asymmetrisk, för scenarier där flera tjänster verifierar samma token).
JWT är populärt men kräver försiktighet: (1) skicka alltid över HTTPS så att tokens inte läcker, (2) håll expiration-tid kort (15-60 min) och använd refresh tokens för längre sessioner, (3) spara inte känslig data i payloaden eftersom den är base64-enkodad men inte krypterad — vem som helst kan läsa innehållet, (4) använd starka secret keys (minst 256 bitar). För svenska Laravel- och Node.js-utvecklare är JWT vardag i API-projekt.
Fördjupning på denna.se
Relaterade termer
API
Standardiserat gränssnitt som låter mjukvarusystem kommunicera med varandra — grunden för alla moderna integrationer och molntjänster.
REST API
Arkitekturstil för webb-API:er baserad på HTTP-metoder (GET, POST, PUT, DELETE) och resurser. Dominerande standard för moderna integrationer.
CORS
Säkerhetsmekanism i webbläsare som kontrollerar när en sajt får göra förfrågningar till en annan domän. Viktigt för API:er och moderna webbapplikationer.
HTTPS
Krypterat webb-protokoll som säkrar kommunikation mellan besökare och server. Obligatoriskt för alla moderna sajter — ofta genom Let's Encrypt-certifikat.