JWT
JWT (JSON Web Token)
Ein kompaktes, URL-sicheres Token-Format zur sicheren Übertragung von Ansprüchen zwischen Parteien, das häufig für Authentifizierung und Autorisierung in Webanwendungen und APIs verwendet wird.
Technisches Detail
Ein JWT besteht aus drei base64url-kodierten Teilen, getrennt durch Punkte: Header (Algorithmus und Token-Typ), Payload (Ansprüche wie sub, iat, exp, benutzerdefinierte Daten) und Signatur (HMAC oder RSA/ECDSA des kodierten Headers und Payloads). Häufige Algorithmen: HS256 (symmetrisches HMAC), RS256 (asymmetrisches RSA) und ES256 (ECDSA). JWTs sind signiert, aber nicht verschlüsselt — der Payload ist base64-kodiert, nicht verschlüsselt. JWE (JSON Web Encryption) bietet verschlüsselte Token. Sicherheitsüberlegungen: niemals das Secret auf dem Client speichern, kurze Ablaufzeiten verwenden, den alg-Header validieren (alg:none-Angriff) und Token bei Passwortwechsel widerrufen.
Beispiel
```javascript
// JWT: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```