Web價格

(WEB)

JSON Web Token (JWT) 是一個開放標準 (RFC 7519)，用於在雙方之間以 JSON 物件的形式安全地傳輸資訊。其主要目的是在網路應用程式中實現安全、無狀態的身份驗證和授權。它允許聲明（資訊）進行數位簽署，確保資料未被竄改，並驗證發送者的真實性。這使得它成為一種緊湊且獨立的方式，可以安全地表示資訊，用於驗證使用者身份等任務。

JWT 工作流程始於使用者成功登入，促使伺服器向客戶端發放一個 JWT。此權杖通常包含使用者特定的聲明和過期時間，然後儲存在客戶端。對於後續存取受保護資源的請求，客戶端會將此 JWT 包含在請求標頭中。伺服器收到此類請求後，會使用秘密金鑰驗證權杖的數位簽章。此驗證確認了權杖的完整性和真實性。根據權杖內的聲明，伺服器隨後驗證使用者身份，並確定他們存取所請求資源的授權，而無需查詢資料庫以獲取會話資訊。

JSON Web Token (JWTs) 最有效地應用於幾個主要用例。它們主要用於授權，允許使用者在初次登入後安全地存取被允許的路由和資源。該權杖作為一種憑證，證明使用者的身份和權限。另一個重要應用是雙方之間的安全資訊交換，其中數位簽章確保傳輸資料的完整性和真實性。此外，JWTs 是實施跨多個網域或服務的單一登入 (SSO) 的基石，使用戶能夠一次登入即可無縫存取各種連接的應用程式。

整合 JWTs 帶來眾多好處，增強應用程式的安全性和效率。它們實現無狀態身份驗證，這表示伺服器無需儲存會話資料，從而提高可擴展性並減少伺服器負載。JWTs 由於其數位簽章而具有防竄改性，這確保了資料完整性和真實性。其緊湊且獨立的特性便於傳輸並簡化會話管理。此外，JWTs 支援跨平台相容性，使其適用於各種客戶端和服務。這些特性共同促成一個更健壯、高效且安全的身份驗證和授權系統。

儘管 JSON Web Token (JWT) 本身並不是直接驗證使用者憑證的身份驗證方法，但它是一種關鍵組件，廣泛用於登入後的身份驗證和授權。它作為一個安全、獨立的憑證，客戶端呈現給伺服器，以證明其身份和後續請求的授權狀態。JWTs 通常與 OAuth 2.0 等更廣泛的安全協定無縫整合。在這種情況下，OAuth 2.0 處理授權授予流程，而 JWTs 通常用於表示所發放的存取權杖，提供一種標準化且安全的方式來傳達授權資訊。

JWT 的負載包含各種「聲明」，這些聲明是關於實體（通常是使用者）的陳述和額外資料。標準聲明，也稱為註冊聲明，為通用用途預定義並增強互操作性。主要範例包括 `iss` (發行者)，識別發行 JWT 的實體；`sub` (主體)，識別權杖斷言資訊的當事人；`aud` (受眾)，指定 JWT 的預期接收者；`exp` (過期時間)，指示 JWT 不得被接受的時間；`iat` (發行時間)，標記 JWT 的發行時間；以及 `jti` (JWT ID)，JWT 的唯一識別碼。