JWT

JSON Web Token (JWT) è uno standard aperto (RFC 7519) che definisce un modo compatto e autocontenuto per trasmettere informazioni in modo sicuro tra le parti come un oggetto JSON. Queste informazioni possono essere verificate e considerate attendibili poiché sono firmate digitalmente. I JWT possono essere firmati utilizzando un segreto (con l’algoritmo HMAC) o una coppia di chiavi pubblica/privata tramite RSA o ECDSA. Sebbene i JWT possano essere anche cifrati per garantire la segretezza tra le parti, ci concentreremo sui token firmati. I token firmati verificano l’integrità delle affermazioni contenute al loro interno, mentre i token cifrati nascondono tali affermazioni ad altre parti. Quando i token sono firmati utilizzando coppie di chiavi pubblica/privata, la firma certifica anche che solo la parte che possiede la chiave privata l’ha firmato. I JWT Bearer Token vengono utilizzati per richiedere un token di accesso OAuth 2.0 e per l’autenticazione del client.