Для чего используется JWT?

JWT (JSON Web Token) используется для безопасной передачи информации между сторонами в формате JSON. Основные применения:

1. Авторизация: После успешной аутентификации сервер выдает JWT клиенту. Клиент отправляет этот токен при каждом запросе к защищенным ресурсам. Сервер проверяет подлинность токена и на основании его содержания предоставляет или отклоняет доступ.

2. Обмен информацией: JWT может использоваться для обмена информацией между сервисами, где каждая сторона доверяет подписанному токену.

Структура JWT состоит из трех частей, разделенных точками:

• Header (Заголовок): Содержит тип токена (JWT) и используемый алгоритм подписи (например, HS256).
• Payload (Тело): Содержит утверждения (claims) — информацию о сущности (обычно пользователь) и дополнительные данные. Стандартные утверждения включают iss (издатель), exp (время истечения), sub (тема).
• Signature (Подпись): Создается путем кодирования заголовка и тела в Base64 и подписания их секретным ключом с использованием алгоритма, указанного в заголовке. Подпись гарантирует целостность токена и подтверждает, что он создан доверенным источником.

Пример Payload с утверждениями:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1516242622
}