JWTJSON Web Token
JWT (JSON Web Token) は、ヘッダー・ペイロード・署名の3パートをドット区切りで連結したトークン形式で、認証情報を改ざん検知付きで伝達できます。RFC 7519で規定されています。
詳細解説
JWT は、Base64URL エンコードした「Header.Payload.Signature」の3パートをドットで連結する自己完結型トークンで、サーバーが状態を持たずに認証情報を伝達できる仕組みです。Header にアルゴリズム (alg=HS256/RS256/ES256/EdDSA 等) を、Payload に iss/sub/aud/exp/iat/nbf/jti などの予約クレームとカスタムクレームを格納します。Signature で改ざんを検知できますが暗号化はされない (内容が読める) 点に注意が必要で、機密情報を入れるには JWE (RFC 7516) を使います。「alg=none」脆弱性や鍵取り違え (HS256/RS256混在) の攻撃が知られており、jose ライブラリで厳格に検証することが必須です。短い有効期限 + Refresh Token + JTI ブラックリスト で漏洩耐性を高めます。
実装例 / 使い方
- 01alg=HS256 + sub=user_id + exp=15min の API トークン
- 02alg=none 攻撃対策にライブラリで明示的にアルゴリズム指定
- 03JWE で機密ペイロードを暗号化して伝送
参考・出典
関連する用語
OAuth 2.0
OAuth 2.0 Authorization FrameworkOAuth 2.0 は、複数のグラントタイプ (認可コード・PKCE・クライアントクレデンシャル等) を持つ認可フレームワークで、RFC 6749 と関連 RF...
OpenID Connect
OIDCOpenID Connect (OIDC) は、OAuth 2.0 を拡張してユーザー認証情報を ID Token (JWT) で標準化した認証プロトコルです。...
セッションクッキー
Session Cookieセッションクッキーは、サーバー側のセッションIDをブラウザに保持させるCookieで、HttpOnly・Secure・SameSite 属性で防御を強化します。...
HMAC
Hash-based Message Authentication CodeHMAC は、共通鍵とハッシュ関数 (SHA-256等) を組み合わせメッセージ認証コードを生成する仕組みで、データの完全性と送信元検証を提供します。RFC 2...
JWTを、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信