JWT
読み
ジョット
意味
- ユーザー認証や認可情報を自己完結的に保持するJSONベースのトークン形式
- ヘッダー・ペイロード・署名の3部構成で、署名を検証することで改ざんを検出できる
- ステートレスなセッション管理を実現し、APIゲートウェイやマイクロサービスで広く使われる
比喩
偽造防止ホログラム付きの入場パス。券面に利用者情報が印刷され、ホログラム(署名)で正規品か確認できる。
語源
JSON Web Token = JSON ウェブトークン
例文
- JWTのペイロードにユーザーIDと権限を入れ、APIアクセス時に検証する。
- リフレッシュトークンとセットでJWTを運用し長期ログインを実現する。
- CookieではなくHTTPヘッダーにJWTを入れてSPAからAPIを呼び出す。
よくある勘違い
- JWTにパスワードなどの機密情報をそのまま入れても安全だと思うこと → 署名で改ざんは防げても内容は平文で読み取られる