Was ist ein JWT? Ein verstaendlicher Leitfaden zu JSON Web Tokens
Von SyncBuilder
Ein JWT (JSON Web Token) ist ein kompakter, URL-sicherer Token, der weit verbreitet fuer die Authentifizierung und zum Uebergeben von Claims zwischen Diensten genutzt wird. Wenn Sie sich schon einmal bei einer App angemeldet haben und angemeldet geblieben sind, war im Hintergrund sehr wahrscheinlich ein JWT im Spiel.
Die drei Teile eines JWT
Ein JWT besteht aus drei base64url-codierten Teilen, die durch Punkte getrennt sind: dem Header, dem Payload und der Signature. Der Header benennt den Algorithmus, mit dem der Token signiert wurde, der Payload enthaelt die Claims und die Signature erlaubt es dem Empfaenger zu pruefen, dass der Token nicht manipuliert wurde.
Gaengige Claims, die Ihnen begegnen
- sub - das Subject, meist der Benutzer, den der Token repraesentiert
- exp - die Ablaufzeit, nach der der Token nicht mehr gueltig ist
- iat - issued at, der Zeitpunkt, zu dem der Token erstellt wurde
- nbf - not before, der Zeitpunkt, ab dem der Token gueltig wird
- iss - der Issuer, der den Token erstellt und signiert hat
Wichtig: base64url ist Codierung, keine Verschluesselung. Jeder kann einen JWT Payload lesen, legen Sie also niemals Geheimnisse hinein. Einen Token zu decodieren ist auch nicht dasselbe wie ihn zu verifizieren. Die Signature muss auf dem Server mit dem Secret oder dem Public Key geprueft werden.
Moechten Sie jetzt in einen Token schauen? Unser kostenloser JWT Decoder liest Header, Payload und Ablaufzeit vollstaendig in Ihrem Browser, sodass der Token Ihr Geraet nie verlaesst. Beachten Sie: er decodiert und verifiziert nicht, er prueft also die Signature nicht.
Kostenloses Tool ausprobieren