JWT (JSON Web Token) - бул көптөгөн API жана микросервис архитекторлорунда колдонулган заманбап авторизация жана коопсуз маалымат алмашуу стандарты. Биз колдонуучуларды жана кызматтарды аутентификациялоо, сессияларды башкаруу жана ролдорду ажыратуу үчүн JWT толук колдоону ишке ашырабыз.
JWT токендери кардар тарабында сакталат, серверде сессияларды талап кылбайт жана ошол эле учурда аныктыгын жана жасалмалоодон коргоону камсыз кылуу үчүн кол коюшат.
Эмне JWT камтыйт
| Токендеги талаа | Максаты |
|---|---|
| sub | Колдонуучунун же кызматтын идентификатору |
| exp | Токендин мөөнөтү |
| roles / scopes | Колдонуучунун ролдору жана жеткиликтүү уруксаттар |
| signature | Аныктыгын текшерүү үчүн санариптик кол |
| custom claims | Ар кандай кошумча маалыматтар: тил, зал ID, акча ж.б. |
Ишке ашыруунун өзгөчөлүктөрү
Формат: 'header. payload. signature` (в base64)
Кол коюу алгоритмдери: HS256 (симметриялуу) жана RS256 (асимметриялуу)
Refresh токендерди жана ротацияны колдоо
CORS менен иштөө, мобилдик, Web жана server-to-server кардарлар
Кукилерде, localStorage же аталыштарда токенди сактоо мүмкүнчүлүгү
JWT колдонуу артыкчылыктары
Stateless: Server сессиясынын кереги жок
Мобилдик, SPA жана микросервистер үчүн ыңгайлуу
Масштабдуулугу - көптөгөн кызматтарда оңой ишке ашырылат
Кардар менен API ортосунда тез маалымат алмашуу
Ийкемдүүлүк - авторизациялоо үчүн зарыл болгон бардык маалыматтарды токенде сактоого болот
Кайда өзгөчө актуалдуу
Мобилдик жана frontend тиркемелер
Сервистик авторизация (S2S)
Бир эле учурда колдонуучулардын саны көп платформалар
Жетүүнүн так ролдук моделинин зарылдыгы менен системалар
JWT ишенимдүү жана ийкемдүү курал авторизация жана коопсуздук API болуп саналат. Бул сервердин абалына көз каранды болбостон, колдонмолордун масштабдуу жана коопсуз иштешин камсыз кылат.