JWT

Een JWT (JSON Web Token, uitgesproken als "jot") is een compact, zelfstandig token dat informatie bevat in JSON-formaat en digitaal is ondertekend. Het wordt veel gebruikt voor authenticatie en autorisatie in web-API's.

Structuur

Een JWT bestaat uit drie Base64-gecodeerde delen, gescheiden door punten:

header.payload.signature
  • Header — type token en algoritme ({"alg":"HS256","typ":"JWT"})
  • Payload — de claims: gebruikersdata en metadata
  • Signature — digitale handtekening ter verificatie

Veelgebruikte claims

ClaimBetekenis
subSubject — voor wie het token is
expExpiration — vervaldatum
iatIssued at — aanmaaktijdstip
issIssuer — wie het token uitgeeft

Ondertekend vs. versleuteld

Een standaard JWT is alleen ondertekend — de payload is leesbaar voor iedereen. Sla geen gevoelige data op in een JWT tenzij hij ook versleuteld is (JWE).

Zie ook

  • oauth — JWT als access token
  • tls — JWT vereist HTTPS voor veilig transport
  • encryptie — JWE voor versleutelde tokens
  • api — JWT voor API-authenticatie
beveiligingict