JWT giải thích: cấu trúc, bảo mật và lỗi thường gặp

JWT đơn giản hóa xác thực không trạng thái, nhưng cũng tạo điều kiện phân phối thông tin xác thực khó thu hồi. Kỷ luật xác thực quan trọng hơn sự tiện lợi.

Ba phần

Một JWT có header, payload và signature. Payload không được mã hóa theo mặc định, vì vậy không được chứa bí mật hay thông tin nhạy cảm.

Những gì bạn phải luôn xác thực

• Các thuật toán được phép một cách rõ ràng
• exp, iss và aud
• Access token có thời gian sống ngắn
• Refresh token riêng biệt khi cần thiết

Thu hồi và vận hành

Vì JWT đã phát hành khó thu hồi, nên kết hợp TTL ngắn, xoay vòng khóa và khi cần thiết, danh sách thu hồi.

Mẹo thực tế

Kiểm tra token bằng các công cụ cục bộ như JWT Inspector. Gửi token thực đến bộ giải mã bên ngoài là thực hành vận hành không tốt.