JWT
ויקיפדיה האנציקלופדיה encyclopedia
JWT (ראשי תיבות באנגלית של: JSON Web Token) הוא תקן להעברת מידע חתום בין שני צדדים בפורמט JSON .יחידות המידע, המכונות לעיתים טענות (Claims), מיוצגות כאובייקט של JSON. JWT הוא תקן פתוח שפורסם על ידי ארגון IETF ב-RFC 7519.
השימוש הנפוץ ב-JWT הוא ליצירת אסימון גישה (Access Token) המשמש לאימות של "טענות" כגון שם משתמש, וסיסמה. לאחר שהשרת אימת את זהות הלקוח הוא יכול ליצור אסימון המאשר שזהות הלקוח אומתה ולספק את האסימון ללקוח. הלקוח יכול, לאחר מכן, להשתמש באסימון כאות המאשר שזהותו אומתה ובכך לקבל הרשאה לבצע פעולות. האסימונים חתומים באמצעות מפתח ייחודי של השרת, כך שהשרת או כל גורם שמחזיק עותק של המפתח, מסוגלים כל אחד בנפרד לוודא שהאסימון לגיטימי.
האסימונים תוכננו להיות קצרים, בטוחים להעברה ב URL, ושמישים במיוחד בדפדפני אינטרנט בהקשר של SSO (שימוש במספר רב של מערכות באמצעות מפתח יחיד). "טענות" JWT משמשות באופן טיפוסי כדי להעביר את הזהות של משתמשים מאומתים בין "מְסַפֵּק הַזֶּהוּת" (Identity Provider) לבין "נותן השירות" (Service Provider), או כל סוג אחר של טענות (כלומר פריטי מידע) הנדרשים כחלק מתהליך עסקי כלשהו.[1][2] אסימונים יכולים להיות גם חתומים דיגיטלית לאימות זהות השולח ומוצפנים[3][4]. (להסתרת תוכן האסימון מפני המשתמש וצד ג' אשר מאזין לתקשורת)
JWT מסתמך על סטנדרטים קיימים של JSON, כמו: JWS (ראשי תיבות של JSON Web Signature) המפורסם כ-RFC 7515 ו-JWE (ראשי תיבות של JSON Web Encryption) המפורסם כ-RFC 7516.[5][6][7]