Tutorial
8 Min. Lesezeit
JSON Web Tokens verstehen: Entwickler-Leitfaden
Ein JWT ist ein kompaktes Token-Format zum Übertragen von Claims zwischen zwei Systemen. Es wird in modernen Web-Apps für Authentifizierung und Autorisierung weit verbreitet eingesetzt.
Struktur eines JWT
Ein JWT besteht aus drei durch Punkte getrennten Teilen: header.payload.signature. Jeder Teil ist Base64URL-kodiertes JSON.
- Header — Token-Typ und Signaturalgorithmus
- Payload — registrierte, öffentliche und private Claims
- Signature — überprüft, dass das Token nicht verändert wurde
Sicherheitshinweise
- Keine sensiblen Daten in den Payload — JWT bedeutet Kodierung, nicht Verschlüsselung
- Signaturvalidierung nicht überspringen
- Kurze Ablaufzeiten verwenden
- Ausreichend starke Signaturschlüssel nutzen
Sichere Inspektion
Zur Token-Prüfung empfiehlt sich ein im Browser laufendes Inspect-Tool. Server-seitige Decoder können Produktions-Tokens in Log-Dateien hinterlassen.