Share to: share facebook share twitter share wa share telegram print page

JSON Web Token

O JSON Web Token (JWT, às vezes pronunciado [ɒt]) é um padrão da Internet para a criação de dados com assinatura opcional e/ou criptografia cujo payload contém o JSON que afirma algum número de declarações. Os tokens são assinados usando um segredo privado ou uma chave pública/privada.

Por exemplo, um servidor pode gerar um token com a declaração "logado como administrador" e fornecê-lo a um cliente. O cliente pode então usar esse token para provar que está logado como administrador. Os tokens podem ser assinados pela chave privada de uma parte (geralmente do servidor), para que a parte possa posteriormente verificar se o token é legítimo. Se a outra parte, por alguns meios adequados e confiáveis, estiver na posse da chave pública correspondente, ela também poderá verificar a legitimidade do token.[1]

Os tokens foram projetados para serem compactos, seguros para URL e utilizáveis, especialmente em um contexto de login único (SSO) no navegador da web. As declarações JWT geralmente podem ser usadas para transmitir a identidade de usuários autenticados entre um provedor de identidade e um provedor de serviços ou qualquer outro tipo de declaração, conforme exigido pelos processos de negócios.[2][3]

O JWT depende de outros padrões baseados em JSON: JSON Web Signature e o JSON Web Encryption.[4][5]

Estrutura

Um JWT é composto de três partes, o header, o payload e a assinatura, todas são escritas em JSON, e são codificadas usando Base64.[6]


O header especifica se o token será assinado, e caso seja qual o algorítmo usado para a assinatura usando a declaração obrigatória alg (algorítmo). Além disso pode conter as declarações opcionais typ (tipo de mídia) e cty (tipo de conteúdo). 

{
"alg": "HS256",
"typ": "JWT"
}

O payload pode conter qualquer tipo de dado relevante para a aplicação, não existem declarações obrigatórias.

{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}

A assinatura consiste da codificação e encriptação do header, payload e um segredo. Esse campo é usado para provar a autenticidade de um token, prevenindo que ele possa ser modificado por um agente malicioso. As declarações registradas para a assinatura são:

  • iss (issuer) quem criou o token;
  • sub (subject) sobre quem o token se refere;
  • aud (audience) para quem o token é esperado;
  • exp (expiration) data de expiração;
  • nbf (not before) a partir de quando o token é valido;
  • iat (issued at) data de criação;
  • jti (jwt id) identificador único;

A assinatura é verificada pela aplicação que deseja validar a autenticidade do token. Se o token for assinado com criptografia assimétrica, a chave pública pode ser optida através de uma API que fornece tal chave no formato de uma JWK.[7]

Ver também

Referências

  1. Nickel, Jochen (2016). Mastering Identity and Access Management with Microsoft Azure. [S.l.: s.n.] p. 84. ISBN 9781785887888. Consultado em 20 de julho de 2018 
  2. Sevilleja, Chris. «The Anatomy of a JSON Web Token». Consultado em 8 de maio de 2015 
  3. «Atlassian Connect Documentation». developer.atlassian.com. Consultado em 11 de maio de 2020 
  4. «draft-ietf-jose-json-web-signature-41 - JSON Web Signature (JWS)». tools.ietf.org. Consultado em 8 de maio de 2015 
  5. «draft-ietf-jose-json-web-encryption-40 - JSON Web Encryption (JWE)». tools.ietf.org. Consultado em 8 de maio de 2015 
  6. Peyrott, Sebastián (2016–2018). The JWT Handbook (PDF). [S.l.]: Auht0 Inc. 
  7. «JSON Web Key Sets». Auth0. Consultado em 16 de dezembro de 2022 
Este artigo é um esboço. Você pode ajudar a Wikipédia expandindo-o. Editor: considere marcar com um esboço mais específico.
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi
Kembali kehalaman sebelumnya