JWT (JSON Web Token)

JWT (JSON Web Token)

JWT (JSON Web Token) ist ein moderner Standard für Autorisierung und sicheren Datenaustausch, der in vielen APIs und Microservice-Architekturen verwendet wird. Wir implementieren die volle Unterstützung von JWT für die Authentifizierung von Benutzern und Diensten, die Verwaltung von Sitzungen und die Abgrenzung des Zugriffs nach Rolle.

JWT-Token werden auf der Client-Seite gespeichert, benötigen keine Sitzungen auf dem Server und sind gleichzeitig signiert, um Authentizität und Fälschungssicherheit zu gewährleisten.

Was JWT enthält

Feld im Token	Verwendungszweck
sub	Benutzer- oder Dienstkennung
exp	Ablaufzeit des Tokens
roles/scopes	Benutzerrollen und verfügbare Berechtigungen
Signatur	Digitale Signatur zur Authentifizierung
custom claims	Alle zusätzlichen Daten: Sprache, Hallen-ID, Währung, etc.

Besonderheiten der Umsetzung

Format: 'header. payload. signature` (в base64)
Signaturalgorithmen: HS256 (symmetrisch) und RS256 (asymmetrisch)
Unterstützung von Refresh-Token und Rotation
Arbeiten mit CORS-, Mobil-, Web- und Server-to-Server-Clients
Möglichkeit, das Token in Cookies, localStorage oder Headern zu speichern

Vorteile der Verwendung von JWT

Stateless: Keine Server-Sitzung notwendig
Praktisch für Mobile, SPA und Microservices
Skalierbarkeit - einfach auf einer Vielzahl von Services zu implementieren
Schneller Datenaustausch zwischen Client und API
Flexibilität - Sie können alle für die Autorisierung erforderlichen Daten in einem Token speichern

Wo es besonders relevant ist

Mobile und Frontend-Anwendungen
Autorisierung innerhalb des Dienstes (S2S)
Plattformen mit einer großen Anzahl gleichzeitiger Benutzer
Systeme mit dem Bedürfnis nach einem klaren Zugangsmodell

JWT ist ein robustes und flexibles Tool für API-Autorisierung und Sicherheit. Es ermöglicht einen skalierbaren und sicheren Betrieb von Anwendungen ohne Abhängigkeit vom Serverstatus.