JWT Encoder/Decoder

Was ist JWT (JSON Web Token)?

JSON Web Token (JWT) ist ein offener Standard (RFC 7519), der eine kompakte und eigenständige Methode zur sicheren Übertragung von Informationen zwischen Parteien als JSON-Objekt definiert. Diese Informationen können überprüft und als vertrauenswürdig eingestuft werden, da sie digital signiert sind. JWTs können mit einem Geheimnis (mit dem HMAC-Algorithmus) oder einem öffentlichen/privaten Schlüsselpaar unter Verwendung von RSA oder ECDSA signiert werden.

Die Struktur eines JWT

Ein JWT besteht technisch aus drei Teilen, die durch Punkte (.) getrennt sind:

• Header (Kopfzeile) : Der Header besteht typischerweise aus zwei Teilen: dem Token-Typ (JWT) und dem verwendeten Signaturalgorithmus, wie z. B. HMAC SHA256 oder RSA.
• Payload (Nutzdaten) : Die Payload enthält die Claims. Claims sind Aussagen über eine Entität (typischerweise den Benutzer) und zusätzliche Daten. Es gibt drei Arten von Claims: registrierte, öffentliche und private Claims.
• Signature (Signatur) : Um den Signaturteil zu erstellen, müssen Sie den codierten Header, die codierte Payload, ein Geheimnis und den im Header angegebenen Algorithmus nehmen und dies signieren. Die Signatur dient dazu, zu überprüfen, ob die Nachricht unterwegs nicht verändert wurde.

Unterstützte Algorithmen

Dieses Tool unterstützt die Decodierung und Überprüfung für alle Standardalgorithmen sowie die Generierung für symmetrische Algorithmen:

• HS256: HS256 (HMAC SHA-256): Symmetrisch. Erfordert einen gemeinsamen geheimen Schlüssel. Schnell und üblich für Microservices.
• HS384: HS384 (HMAC SHA-384): Symmetrisch. Nutzt einen 384-Bit-Hash für höhere Kollisionsresistenz.
• HS512: HS512 (HMAC SHA-512): Symmetrisch. Nutzt einen 512-Bit-Hash. Am sichersten für symmetrische Signaturen.
• RS256: RS256 (RSA SHA-256): Asymmetrisch. Private Key zum Signieren, Public Key zum Verifizieren. Ideal für öffentliche APIs.
• RS384: RS384: Asymmetrisch. Stärkerer Hash als RS256.
• RS512: RS512: Asymmetrisch. Höchste Sicherheit für RSA-Signaturen.

JWT Claims verstehen

Claims sind Informationsstücke, die über ein Subjekt ausgesagt werden. Standardmäßige registrierte Claims sind:

• iss (Issuer): iss (Issuer): Identifiziert den Aussteller des JWT.
• sub (Subject): sub (Subject): Identifiziert das Subjekt des JWT (z. B. User-ID).
• aud (Audience): aud (Audience): Identifiziert die Empfänger, für die das JWT bestimmt ist.
• exp (Expiration Time): exp (Expiration Time): Identifiziert den Ablaufzeitpunkt, ab dem das JWT nicht mehr akzeptiert werden darf.
• nbf (Not Before): nbf (Not Before): Identifiziert den Zeitpunkt, vor dem das JWT nicht akzeptiert werden darf.
• iat (Issued At): iat (Issued At): Identifiziert den Zeitpunkt, zu dem das JWT ausgestellt wurde.
• jti (JWT ID): jti (JWT ID): Bietet eine eindeutige Kennung für das JWT.

Wann sollten Sie JWT verwenden?

• Autorisierung: Dies ist das häufigste Szenario. Sobald der Benutzer angemeldet ist, enthält jede nachfolgende Anfrage das JWT, sodass der Benutzer auf Routen, Dienste und Ressourcen zugreifen kann, die mit diesem Token zulässig sind.
• Informationsaustausch: JWTs sind ein guter Weg, um Informationen sicher zwischen Parteien zu übertragen. Da JWTs signiert werden können, können Sie sicher sein, dass die Absender die sind, für die sie sich ausgeben.
• Zustandslose Sitzungen: Im Gegensatz zu serverseitigen Sessions enthalten JWTs alle notwendigen Benutzerdaten, was Datenbankabfragen reduziert.
• Cross-Domain SSO: Da JWTs zustandslos und kompakt sind, können sie für Single Sign-On leicht über Domänen hinweg übertragen werden.
• API-Sicherheit: Absicherung von RESTful APIs ohne serverseitigen Session-Status.

Referenzen

• RFC 7519 - JSON Web Token (JWT) Spezifikation
• JWT.io - Offizielle Branchenressource
• MDN Web Docs: Crypto API