JWT (JSON Web Token) は、当事者間で情報を安全に転送するためのコンパクトで自己完結型の方法です。 この情報はJSONオブジェクトとして転送され、デジタル署名されているため、検証と信頼が可能です。
JWTは主に認証とデータ交換に使用されます。認証後、サーバーはユーザーの識別情報と権限を含むJWTを発行し、 クライアントはそれを保存して後続のリクエストに含めることができます。
JWTは3つの部分からなるドット区切りの文字列です:
例えば、以下のようなJWTトークンがあります:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IuWxseeUsOWkqumDjiIsImlhdCI6MTUxNjIzOTAyMn0.0SxH5hV_DM5aEjrfVjIpBXZHXqnIilKKD4CuXLRZqjE
認証: ユーザーがログインすると、サーバーはJWTを発行します。その後のリクエストには、このトークンが含まれ、 ユーザーがアクセスできるルートやサービスを決定するために使用されます。
情報交換: JWTは当事者間で情報を安全に転送する良い方法です。署名されているため、 送信者が主張する人物であることを確認できます。また、署名はヘッダーとペイロードから計算されるため、 内容が改ざんされていないことも確認できます。
JWTのペイロードは署名されていますが、暗号化されていません。機密情報をJWTのペイロードに含めないでください。 また、適切なシークレットキーを使用し、必要に応じてトークンの有効期限を設定することが重要です。