Json Web Token (JWT)

Json Web Token (JWT) kullanıcı kimlik doğrulaması ve bilgi aktarımı için kullanılan kompakt ve güvenli bir token formatıdır. Token içerisinde barındırdığı imza ile verinin bütünlük koruması altında taşınmasını veya şifrelenmesini mümkün kılar. IETF (Internet Engineering Task Force) tarafından geliştirilen JWT; RFC 7519 standart adıyla Mayıs 2015'te yayımlanmıştır.

Kullanım Alanları

JWT teknolojisi çoğunlukla;

• Kullanıcının web veya mobil platform üzerinden sisteme giriş yapması sonrası istemciye erişim token'i vererek kimlik doğrulaması
• API (Application Programming Interface) çağrılarında yetkilendirme işlemi
• Mikroservis mimarilerde servisler arası iletişim kurulması gibi senaryolarda kullanılmaktadır.

JWT, tasarım gereği sunucunun oturum verisini kendi tarafında tutmadığından dolayı yüksek performanslı dağıtık sistemlerde cevap süresini düşürmektedir.

JWT'nin Yapısı

JWT, nokta ile ayrılmış üç parçadan oluşan bir dizedir. Bu dizeler sırasıyla;

• Algoritma ve tip bilgisini içeren Header
• JSON (JavaScript Object Notation) formatında claim'leri (token'in taşıdığı bilgi) taşıyan Payload
• Header ve Payload'ın Base64url çıktılarının birleştirilip, seçilen algoritma ile imzalanmış halini temsil eden Signature alanlarını temsil etmektedir.

Bahsi geçen bu üç yapıdan herhangi birinde oluşacak değişiklik token'i geçersiz hale getirecektir.

Tanımlama ve Test Aracı

JWT yapılarını jwt.io adresi üzerinden tarayıcı içerisinde çalışan bir JWT Debugger ile Header ve Payload'ı Base64url çözerek görebilmekte ve örnek token'ler üretilebilmektedir.