What Is JWT?

[habu-ori]

JWTとは何か？

• JWT = JSONウェブトークン
• クライアントとサーバーの2者間でセキュリティ情報を共有するために使用されるオープンな標準規格
• 各JWTには、JSONオブジェクトが含まれている。
• JWTは、暗号アルゴリズムを使って署名されている。

JWTの仕組み

• JWTに含まれるclaimsは、2者間で情報を伝達するために使用される。

• このclaimsは、その時のユースケースに合わせて決定する。

  • 例）誰がトークンを発行したか、トークンの有効期間、クライアントに与えられた権限など

• JWTは3つの部分からなる文字列で、ドット(.)で区切られ、base64でシリアライズされる。

• 最も一般的なシリアライズ形式であるコンパクトシリアライズでは、JWTは以下のようになる。

  xxxxx.yyyyy.zzzzz.

• デコードされると、2つのJSON文字列(headerとpayroad)が得られる。

• JOSE（JSON Object Signing and Encryption）headerには、トークンの種類（この場合はJWT）と署名アルゴリズムが含まれている。 payroadには、claimsが含まれる。

JWTの例

OAuthベアラ・トークン

• JWTの一般的な使用方法は、OAuthBeareTokenとして使用する方法。
• この例では、認証サーバーがクライアントの要求に応じてJWTを作成し、他のいかなる当事者によっても変更されないように署名を実行する。
• クライアントはこのJWTをREST APIへのリクエストと一緒に送信する。
• REST APIは、JWTの署名がそのペイロードとヘッダーに一致することを検証し、JWTが有効であることを判断する。
• REST APIはJWTを検証すると、そのクレームを使用してクライアントのリクエストを許可または拒否することができる。

なぜJWTを使用するのか？

• JWTはユーザー認証と情報共有のための安全な方法として使用される。
• 一般的に、発行者は秘密鍵（シークレット）を使ってJWTに署名します。
• JWTの受信者は、発行者が署名した後にトークンが変更されていないことを確認するために、署名を検証。
• 認証されていないソースが署名キーを推測し、JWT内の主張を変更しようとすることは困難。

[habu-ori]

sequenceDiagram
    autonumber
    client クライアント
    participant server as サーバー
    クライアント->>server: GET /doc HTTP/1.1
    server->>クライアント: HTTP/1.1 200 OK

[habu-ori]