目次
3.1 ヘッダー
3.2 ペイロード
3.3 署名
1. 多言語サポート
2. 無制限のプロジェクトを無料で展開します
3. 比類のない費用対効果
4. 開発者エクスペリエンスの簡素化
5. 簡単な拡張と高いパフォーマンス
ホームページ ウェブフロントエンド jsチュートリアル JWT (JSON Web トークン) のマスター: ディープダイブ

JWT (JSON Web トークン) のマスター: ディープダイブ

Jan 21, 2025 pm 08:37 PM

JSON Web Token (JWT): クロスドメイン認証の一般的なソリューション

この記事では、現在最も人気のあるクロスドメイン認証ソリューションである JSON Web Token (JWT) の原理と使用法を紹介します。

1. クロスドメイン認証の課題

インターネット サービスはユーザー認証と切り離せません。従来のプロセスは次のとおりです:

  1. ユーザーはユーザー名とパスワードをサーバーに送信します。
  2. サーバー認証が成功すると、ユーザーの役割、ログイン時間、その他の関連データが現在のセッションに保存されます。
  3. サーバーはユーザーに session_id を返し、それをユーザーの Cookie に書き込みます。
  4. ユーザーによる後続のリクエストはすべて、Cookie を通じて session_id をサーバーに送り返します。
  5. サーバーは session_id を受信した後、ユーザーを識別するために事前に保存されたデータを探します。

このモデルには拡張性がありません。単一マシン環境は問題ありませんが、サーバー クラスターまたはクロスドメインのサービス指向アーキテクチャではセッション データの共有が必要であり、各サーバーはセッションを読み取ることができます。たとえば、Web サイト A と Web サイト B は同じ会社の関連サービスであり、ユーザーは一方の Web サイトにログインした後、もう一方の Web サイトにアクセスすると自動的にログインできます。 1 つの解決策は、セッション データを永続化し、それをデータベースまたは他の永続層に書き込み、各サービスがリクエストを受信した後に永続層からデータをリクエストすることです。このソリューションのアーキテクチャは明確ですが、ワークロードが大きく、永続層の障害が単一障害点につながります。もう 1 つのオプションは、サーバーがセッション データをまったく保存せず、すべてのデータがクライアントに保存され、リクエストごとにサーバーに送り返されるというものです。 JWT はこのアプローチを表しています。

2. JWT の原則

JWT の原理は、サーバーが検証後に JSON オブジェクトを生成し、それをユーザーに返すことです。次に例を示します。

{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
ログイン後にコピー
ログイン後にコピー

その後、ユーザーがサーバーと通信するときに、この JSON オブジェクトを返す必要があり、サーバーはこのオブジェクトに基づいてユーザーの ID を完全に判断します。ユーザーによるデータの改ざんを防ぐために、サーバーはこのオブジェクトの生成時に署名を追加します (詳細は後述)。サーバーはセッション データを保存しなくなります。つまり、サーバーはステートレスになり、拡張が容易になります。

3. JWT データ構造

実際の JWT は次のようになります:

Mastering JWT (JSON Web Tokens): A Deep Dive

ドット (.) で 3 つの部分に区切られた長い文字列です。 JWT 内には改行がないことに注意してください。ここでの改行は表示を容易にするためだけです。 JWT の 3 つの部分は次のとおりです:

  • ヘッダー
  • ペイロード
  • 署名

1 行は Header.Payload.Signature として表現されます

Mastering JWT (JSON Web Tokens): A Deep Dive

これら 3 つの部分を以下に紹介します。

3.1 ヘッダー

ヘッダー部分は、JWT のメタデータを記述する JSON オブジェクトで、通常は次のようになります。

{"alg": "HS256", "typ": "JWT"}
ログイン後にコピー
ログイン後にコピー

alg 属性は署名アルゴリズムを表し、デフォルトは HMAC SHA256 (HS256) です。typ 属性はこのトークンのタイプを表し、JWT トークンは一律に JWT として書き込まれます。この JSON オブジェクトは、最終的に Base64URL アルゴリズムを使用して文字列に変換されます (詳細は以下を参照)。

3.2 ペイロード

ペイロード部分も、送信する必要がある実際のデータを保存するために使用される JSON オブジェクトです。 JWT は 7 つの公式オプション フィールドを定義します:

  • iss (発行者): 発行者
  • exp (有効期限): 有効期限
  • サブ (件名): 件名
  • aud (聴衆): 聴衆
  • nbf (Not Before): 有効時間
  • iat (発行時刻):発行時刻
  • jti (JWT ID): シリアル番号

公式フィールドに加えて、プライベートフィールドもカスタマイズできます。例:

{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
ログイン後にコピー
ログイン後にコピー

JWT はデフォルトでは暗号化されておらず、誰でも読み取ることができるため、このセクションには秘密情報を入力しないでください。この JSON オブジェクトも、Base64URL アルゴリズムを使用して文字列に変換する必要があります。

3.3 署名

署名部分は最初の 2 つの部分の署名であり、データの改ざんを防ぐために使用されます。まず、シークレットを指定する必要があります。このシークレットはサーバーのみが知っており、ユーザーに漏洩することはできません。次に、ヘッダーで指定された署名アルゴリズム (デフォルトは HMAC SHA256) を使用して、次の式に従って署名を生成します。

{"alg": "HS256", "typ": "JWT"}
ログイン後にコピー
ログイン後にコピー
署名が計算された後、ヘッダー、ペイロード、署名の 3 つの部分が 1 つの文字列に結合され、各部分は「ドット」 (.) で区切られ、ユーザーに返されます。

3.4 Base64URL

前述したように、ヘッダーとペイロードのシリアル化アルゴリズムは Base64URL です。このアルゴリズムは基本的に Base64 アルゴリズムと似ていますが、いくつかの小さな違いがあります。 JWT はトークンとして URL に配置されることがあります (api.example.com/?token=xxx など)。Base64 の 3 文字、/ および = は URL 内で特別な意味を持っているため、置き換える必要があります。省略して - に置き換え、/ を _ に置き換えます。これは Base64URL アルゴリズムです。

4.JWTの使い方

クライアントは、サーバーから返された JWT を受信した後、それを Cookie または localStorage に保存できます。クライアントは、サーバーと通信するたびにこの JWT を運ぶ必要があります。これを Cookie に入れて自動的に送信することはできますが、ドメインをまたいで行うことはできません。より良い方法は、HTTP リクエスト ヘッダーの Authorization フィールドにそれを置くことです:

権限: ベアラー

もう 1 つのアプローチは、ドメインをまたぐときに POST リクエストの本文に JWT を入れることです。

5. JWT のいくつかの特徴

(1) JWT はデフォルトでは暗号化されませんが、暗号化することもできます。元のトークンが生成された後、キーを使用して再度暗号化できます。

(2) JWTが暗号化されていない場合、機密データを書き込むことができません。

(3) JWTは本人確認だけでなく情報交換にも利用できます。 JWT を効果的に使用すると、サーバーがデータベースにクエリを実行する回数を減らすことができます。

(4) JWT の最大の欠点は、サーバーがセッション状態を保存せず、使用中にトークンを取り消したり、トークンの権限を変更したりできないことです。つまり、JWT が発行されると、サーバーが追加のロジックをデプロイしない限り、有効期限が切れるまで有効なままになります。

(5) JWT自体に認証情報が含まれており、一度漏洩すると誰でもトークンの全ての権限を取得できてしまいます。盗難を減らすために、JWT の有効期間は比較的短く設定する必要があります。より重要な権限については、ユーザーが使用するときに再度認証する必要があります。

(6) 盗難を減らすために、JWT は HTTP プロトコルを使用して平文で送信されるべきではなく、HTTPS プロトコルを使用して送信される必要があります。

Leapcell: 最高のサーバーレス Web ホスティング プラットフォーム

Mastering JWT (JSON Web Tokens): A Deep Dive

最後に、Web サービスのデプロイに最適なプラットフォームをお勧めします: Leapcell

1. 多言語サポート

  • JavaScript、Python、Go、または Rust で開発します。

2. 無制限のプロジェクトを無料で展開します

  • 使用した分だけお支払いください。リクエストや手数料はかかりません。

3. 比類のない費用対効果

  • 従量課金制で、アイドル料金はかかりません。
  • 例: 25 ドルは、平均応答時間 60 ミリ秒で 694 万件のリクエストをサポートします。

4. 開発者エクスペリエンスの簡素化

  • 直感的な UI、セットアップが簡単。
  • 完全に自動化された CI/CD パイプラインと GitOps の統合。
  • 実用的な洞察を得るリアルタイムのメトリクスとログ。

5. 簡単な拡張と高いパフォーマンス

  • 自動拡張により、高い同時実行性を簡単に処理できます。
  • 運用上のオーバーヘッドがゼロ - 構築だけに集中できます。

Mastering JWT (JSON Web Tokens): A Deep Dive

詳しくはドキュメントをご覧ください。

リープセル Twitter: https://www.php.cn/link/7884effb9452a6d7a7a79499ef854afd

以上がJWT (JSON Web トークン) のマスター: ディープダイブの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

Python vs. JavaScript:学習曲線と使いやすさ Python vs. JavaScript:学習曲線と使いやすさ Apr 16, 2025 am 12:12 AM

Pythonは、スムーズな学習曲線と簡潔な構文を備えた初心者により適しています。 JavaScriptは、急な学習曲線と柔軟な構文を備えたフロントエンド開発に適しています。 1。Python構文は直感的で、データサイエンスやバックエンド開発に適しています。 2。JavaScriptは柔軟で、フロントエンドおよびサーバー側のプログラミングで広く使用されています。

C/CからJavaScriptへ:すべてがどのように機能するか C/CからJavaScriptへ:すべてがどのように機能するか Apr 14, 2025 am 12:05 AM

C/CからJavaScriptへのシフトには、動的なタイピング、ゴミ収集、非同期プログラミングへの適応が必要です。 1)C/Cは、手動メモリ管理を必要とする静的に型付けられた言語であり、JavaScriptは動的に型付けされ、ごみ収集が自動的に処理されます。 2)C/Cはマシンコードにコンパイルする必要がありますが、JavaScriptは解釈言語です。 3)JavaScriptは、閉鎖、プロトタイプチェーン、約束などの概念を導入します。これにより、柔軟性と非同期プログラミング機能が向上します。

JavaScriptとWeb:コア機能とユースケース JavaScriptとWeb:コア機能とユースケース Apr 18, 2025 am 12:19 AM

Web開発におけるJavaScriptの主な用途には、クライアントの相互作用、フォーム検証、非同期通信が含まれます。 1)DOM操作による動的なコンテンツの更新とユーザーインタラクション。 2)ユーザーエクスペリエンスを改善するためにデータを提出する前に、クライアントの検証が実行されます。 3)サーバーとのリフレッシュレス通信は、AJAXテクノロジーを通じて達成されます。

JavaScript in Action:実際の例とプロジェクト JavaScript in Action:実際の例とプロジェクト Apr 19, 2025 am 12:13 AM

現実世界でのJavaScriptのアプリケーションには、フロントエンドとバックエンドの開発が含まれます。 1)DOM操作とイベント処理を含むTODOリストアプリケーションを構築して、フロントエンドアプリケーションを表示します。 2)node.jsを介してRestfulapiを構築し、バックエンドアプリケーションをデモンストレーションします。

JavaScriptエンジンの理解:実装の詳細 JavaScriptエンジンの理解:実装の詳細 Apr 17, 2025 am 12:05 AM

JavaScriptエンジンが内部的にどのように機能するかを理解することは、開発者にとってより効率的なコードの作成とパフォーマンスのボトルネックと最適化戦略の理解に役立つためです。 1)エンジンのワークフローには、3つの段階が含まれます。解析、コンパイル、実行。 2)実行プロセス中、エンジンはインラインキャッシュや非表示クラスなどの動的最適化を実行します。 3)ベストプラクティスには、グローバル変数の避け、ループの最適化、constとletsの使用、閉鎖の過度の使用の回避が含まれます。

Python vs. JavaScript:コミュニティ、ライブラリ、リソース Python vs. JavaScript:コミュニティ、ライブラリ、リソース Apr 15, 2025 am 12:16 AM

PythonとJavaScriptには、コミュニティ、ライブラリ、リソースの観点から、独自の利点と短所があります。 1)Pythonコミュニティはフレンドリーで初心者に適していますが、フロントエンドの開発リソースはJavaScriptほど豊富ではありません。 2)Pythonはデータサイエンスおよび機械学習ライブラリで強力ですが、JavaScriptはフロントエンド開発ライブラリとフレームワークで優れています。 3)どちらも豊富な学習リソースを持っていますが、Pythonは公式文書から始めるのに適していますが、JavaScriptはMDNWebDocsにより優れています。選択は、プロジェクトのニーズと個人的な関心に基づいている必要があります。

Python vs. JavaScript:開発環境とツール Python vs. JavaScript:開発環境とツール Apr 26, 2025 am 12:09 AM

開発環境におけるPythonとJavaScriptの両方の選択が重要です。 1)Pythonの開発環境には、Pycharm、Jupyternotebook、Anacondaが含まれます。これらは、データサイエンスと迅速なプロトタイピングに適しています。 2)JavaScriptの開発環境には、フロントエンドおよびバックエンド開発に適したnode.js、vscode、およびwebpackが含まれます。プロジェクトのニーズに応じて適切なツールを選択すると、開発効率とプロジェクトの成功率が向上する可能性があります。

JavaScript通訳者とコンパイラにおけるC/Cの役割 JavaScript通訳者とコンパイラにおけるC/Cの役割 Apr 20, 2025 am 12:01 AM

CとCは、主に通訳者とJITコンパイラを実装するために使用されるJavaScriptエンジンで重要な役割を果たします。 1)cは、JavaScriptソースコードを解析し、抽象的な構文ツリーを生成するために使用されます。 2)Cは、Bytecodeの生成と実行を担当します。 3)Cは、JITコンパイラを実装し、実行時にホットスポットコードを最適化およびコンパイルし、JavaScriptの実行効率を大幅に改善します。

See all articles