O JWT (JSON Web Tokyo) é um padrão moderno de autorização e compartilhamento seguro de dados usado em muitas APIs e arquiteturas de microsserviço. Nós implementamos o suporte total da JWT para autenticação de usuários e serviços, gerenciamento de sessões e distribuição de acesso por papel.
Os tokens JWT são armazenados no lado do cliente, não exigem sessões no servidor, e são assinados para garantir autenticidade e proteção contra falsificação.
O que o JWT contém
| Campo no token | Destino |
|---|---|
| sub | ID de usuário ou serviço |
| exp | Hora de término do token |
| roles / scopes | Papéis do usuário e permissões disponíveis |
| signature | Assinatura digital para autenticação |
| custom claims | Quaisquer dados adicionais: língua, ID da sala, moeda, etc. |
Características de implementação
Formato: 'header. payload. signature` (в base64)
Algoritmos de assinatura HS256 (simétrico) e RS256 (assimétrico)
Suporte a tokens refresh e rotativo
Trabalhar com CORS, mobile, web e server-to-server clientes
Capacidade de armazenamento de token em cookies, localStorage ou cabeçalhos
Benefícios do uso do JWT
Stateless: nenhuma sessão de servidor necessária
Confortável para celulares, SPA e microsserviços
Escalabilidade - Fácil de implementar em vários serviços
Compartilhamento rápido de dados entre cliente e API
Flexibilidade - Você pode armazenar todos os dados necessários para a permissão no token
Onde é particularmente relevante
Aplicativos de celular e frontand
Autorização interna (S2S)
Plataformas com mais usuários simultâneos
Sistemas com a necessidade de um modelo de acesso claro de papel
O JWT é uma ferramenta de autorização e segurança API confiável e flexível. Ele fornece aplicativos escaláveis e seguros, sem depender do estado do servidor.