基本から理解するJWTとJWT認証の仕組み | 豆蔵デベロッパーサイト

これは、豆蔵デベロッパーサイトアドベントカレンダー2022第8日目の記事です。 JSON Web Token(JWT)の単語を目にすることがよくあると思いますが、それと一緒に認証と認可や、RSAの署名や暗号化、そしてOpenIDConnectやOAuth2.0までと難しそうな用語とセットで説明されることも多いため、JWTって難しいなぁと思われがちです。しかし、JWT自体はシンプルで分かりやすいものです。そこで今回は素のJWTの説明からJWS、そしてJWT(JWS)を使った認証を段階的に説明していきます。 おな、この記事はJWT全体の仕組みや使い方の理解を目的としているため、以下の説明は行いません。 RSAやHMACなど暗号化やアルゴリズムの細かい説明 JWTを暗号化するJWEとJSONの暗号鍵表現のJWKについて OpenIDConnectとOAuth2.0について 記事は上記のような内容

[ritou]

この記事の認識の誤りについてXに投稿しました。参考になさってください。https://twitter.com/ritou/status/1759091756963152337

[strawberryhunter]

JWTはちゃんと使おうとするとサーバーサイドにセッションストレージがあるのと変わらなくなる。むしろ署名の検証コストとか、無効にしたトークンの管理とか。

[netnotora]

JWT認証ってちゃんとした用語？JWT自体は単なる署名付きJSONって理解なんだけど。

[hasiduki]

めんどくさいけどしょうがないよね！！！！！！

[koroharo]

難しいとは思わないんだけど、それでももっとよいやり方あるのではって実装しながらモヤモヤした思い出。

[sinoh]

いやー今絶賛使ってるけど、めんどくさいわーこれ

[Itisango]

HTTPヘッダーやクエリパラメータなどスペースに制約がある環境で使うことを前提に、JSON形式のデータをURLセーフでコンパクトな形式にしたもの

[phare]

“JWTはHTTPヘッダーやクエリパラメータにJSONデータをうまく載せられるよう”