JWT(JSON Web Token)を使った認証を試みるOauth2やOpenID Connectなどすでに導入されているJWT(JSON Web Token)。 今後IoTとかを考えると認証手法としては結構有効な認証方法だということで、改めて眺めてみた。 JSON Web TokenJSON Web Token(JWT) jot(ジョット)と発音する。 JSONを電子署名したurl-safe(URLで使用できない文字が含まれる)なclaimのことを指す。rfc7519 また同じような言葉もあるので一旦整理する。 JWS は署名したもの JWE はEncryptしたもの 一般的にJWTというとJWSのことをいう。 電子署名(公開鍵+秘密鍵方式)をしているため、データの読み出し、書き込みができる。 しかし、その内容の改竄はチェックできる。 JSONの内容を秘匿化するわけではないので、内容は誰でも見ることはできるという点は注意が必要。 jwt.io
