JSON Web Token 入門: 開発者ガイド

JWT は、2 つのシステム間でクレームをやり取りするためのコンパクトなトークン形式です。現代の Web アプリでは認証と認可で広く使われています。

JWT の構造

JWT は header.payload.signature の 3 部で構成され、それぞれが Base64URL 形式の JSON です。

• Header — トークン種別と署名アルゴリズム
• Payload — 登録済み・公開・非公開のクレーム
• Signature — 改ざんの有無を検証

セキュリティ上の注意

• 機密情報を payload に入れない — JWT は暗号化ではなくエンコードです
• 署名検証を省略しない
• 短い有効期限を設定する
• 十分に強い署名鍵を使う

安全に確認する

トークン確認にはブラウザ内で動くインスペクタを使う方が安全です。サーバー側デコーダは本番トークンをログへ残す可能性があります。