AG
JWT
DECODER
Декодер
Алгоритмы
Утверждения
Гайды
О сервисе
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
Декодер
/
Гайды
/
JWT в OAuth 2.0 и OpenID Connect
Гайд
JWT в OAuth 2.0 и OpenID Connect
Как JWT используется в OAuth 2.0 и OpenID Connect.
Токен доступа: обозначает право доступа к ресурсу (API). Часто это JWT, но его формат не предписан.
ID-токен (OIDC): JWT, несущий результат аутентификации; он обязан быть JWT и включает sub, aud, iss, exp и утверждения профиля.
Токен обновления: служит для обновления токена доступа; обычно непрозрачная строка, поэтому декодировать его не предполагается.
При проверке всегда сверяйте iss, aud, exp и подпись; OIDC проверяет подпись по JWKS (открытым ключам) издателя.
Попробуйте декодировать токен сами
Просто вставьте — заголовок, полезная нагрузка и утверждения раскроются мгновенно.
Открыть декодер
Связанные
Что такое JWT
JWT (JSON Web Token) — это небольшой подписанный формат JSON-токена для безопасной передачи информации между сторонами.
Трёхчастная структура JWT
Каждый JWT состоит из header.payload.signature, и каждая часть закодирована в base64url.
Чек-лист безопасности JWT
Короткий список ключевых принципов безопасного использования JWT.
JWT против сессионной аутентификации
Разница между аутентификацией по токену (JWT) и по серверной сессии (cookie) и когда что использовать.
Частые ошибки JWT и их решение
Самые частые ошибки при работе с JWT, их причины и способы устранения.
Токены доступа и токены обновления
Роль короткоживущего токена доступа и токена обновления, который его продлевает.
JWS против JWE (подписанный vs зашифрованный)
JWT обычно является подписанным JWS; чтобы скрыть содержимое, используют зашифрованный JWE. Вот разница.
Где хранить JWT: localStorage vs cookie
От того, где вы храните JWT в браузере, зависит риск XSS и CSRF.
Пользовательские утверждения (публичные vs частные)
Помимо зарегистрированных утверждений (iss, exp, ...) — виды, которые вы задаёте сами, и как избежать коллизий.