JWT

JWT (ראשי תיבות באנגלית של: JSON Web Token) הוא תקן להעברת מידע חתום בין שני צדדים בפורמט JSON .יחידות המידע, המכונות לעיתים טענות (Claims), מיוצגות כאובייקט של JSON‏. JWT הוא תקן פתוח שפורסם על ידי ארגון IETF ב-RFC 7519.

השימוש הנפוץ ב-JWT הוא ליצירת אסימון גישה (Access Token) המשמש לאימות של "טענות" כגון שם משתמש, וסיסמה. לאחר שהשרת אימת את זהות הלקוח הוא יכול ליצור אסימון המאשר שזהות הלקוח אומתה ולספק את האסימון ללקוח. הלקוח יכול, לאחר מכן, להשתמש באסימון כאות המאשר שזהותו אומתה ובכך לקבל הרשאה לבצע פעולות. האסימונים חתומים באמצעות מפתח ייחודי של השרת, כך שהשרת או כל גורם שמחזיק עותק של המפתח, מסוגלים כל אחד בנפרד לוודא שהאסימון לגיטימי.

האסימונים תוכננו להיות קצרים, בטוחים להעברה ב URL, ושמישים במיוחד בדפדפני אינטרנט בהקשר של SSO (שימוש במספר רב של מערכות באמצעות מפתח יחיד). "טענות" JWT משמשות באופן טיפוסי כדי להעביר את הזהות של משתמשים מאומתים בין "מְסַפֵּק הַזֶּהוּת" (Identity Provider) לבין "נותן השירות" (Service Provider), או כל סוג אחר של טענות (כלומר פריטי מידע) הנדרשים כחלק מתהליך עסקי כלשהו.^[1]^[2] אסימונים יכולים להיות גם חתומים דיגיטלית לאימות זהות השולח ומוצפנים^[3]^[4]. (להסתרת תוכן האסימון מפני המשתמש וצד ג' אשר מאזין לתקשורת)

JWT מסתמך על סטנדרטים קיימים של JSON, כמו: JWS (ראשי תיבות של JSON Web Signature) המפורסם כ-RFC 7515 ו-JWE (ראשי תיבות של JSON Web Encryption) המפורסם כ-RFC 7516.^[5]^[6]^[7]

מבנה עריכה

להודעת JWT בדרך כלל יש שלושה חלקים: כותרת (header), תוכן (payload), חתימה (signature). הכותרת מזהה את האלגוריתם המשמש כדי ליצור את החתימה, לדוגמה:

header = '{"alg":"HS256","typ":"JWT"}'

HS256 מציין כי מפתח זה נחתם באמצעות HMAC-SHA256.

התוכן מכיל את ה"טענות":

payload = '{"user":"John Doe", "loggedInAs":"admin","iat":1422779638}'

כפי שהוצע בתקן JWT, חותמת הזמן תסופק ותקרא iat (ראשי תיבות של Issued at)

החתימה מחושבת על ידי קידוד base64 של הכותרת והתוכן ושרשורם של תו מפריד של נקודה ('.'):

key = 'secretkey'
unsignedToken = encodeBase64Url(header) + '.' + encodeBase64Url(payload)
signature = HMAC-SHA256(key, unsignedToken)

לכלול הכל יחד, החתימה מקודדת ב base64. שלושה חלקים נפרדים משורשרים באמצעות נקודות:

token = encodeBase64Url(header) + '.' + encodeBase64Url(payload) + '.' + encodeBase64Url(signature)

//The token is now:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI

טענות (claims) סטנדרטיות עריכה

בתקן RFC 7519 מוגדרים אוסף של טענות סטנדרטיות והשמות הרצויים להם ב-JWT:

iss - Issuer, זיהוי המנפיק
sub - Subject, נושא הטוקן
aud - Audience, זיהוי הנמענים שה-JWT מיועד לאפשר גישה אליהם
exp - Expiration time, זמן תפוגה (אחריו אין לקבל את ה-JWT יותר)
nbf - Not before, מגדיר מועד מוקדם ביותר ממנו ניתן יהיה להשתמש ב-JWT (אשר אין לקבל אותו לפניו)
iat- Issued at, זמן ההנפקה
jti - JWT ID, מזהה ייחודי (מיועד למנוע Replay attack)

השדות הבאים יכולים לשמש בכותרות אימות:

typ - Token type, אם קיים, מומלץ להגדיר כ-JWT.^[8]
cty - Content type
alg - Message authentication code algorithm, האלגוריתם ששימש לחתימת ה-JWT.
כל הכותרות האחרות שהוצגו על ידי JWS (RFC 7515) ו-JWE (RFC 7516)

מימושים עריכה

מימושים של JWT קיימים, בין השאר, על Clojure, .NET,^[9] Go, Haskell, Python,^[10] Node.js, Java, JavaScript, Lua, Perl, PHP,^[11] Ruby,^[12] Rust,^[13] Scala,^[14] Erlang , Common Lisp ^[15] ו Elixir.

הערות שוליים עריכה

^ Sevilleja, Chris. "The Anatomy of a JSON Web Token". נבדק ב-2015-05-08.
^ "Atlassian Connect Documentation". developer.atlassian.com. נבדק ב-2015-05-08.
^ "JSON Web Tokens - jwt.io". jwt.io. נבדק ב-2015-05-08.
^ McLean, Tim (31 במרץ 2015). "Critical vulnerabilities in JSON Web Token libraries". Auth0. נבדק ב-2016-03-29. {{cite web}}: (עזרה)
^ "draft-ietf-oauth-json-web-token-32 - JSON Web Token (JWT)". tools.ietf.org. נבדק ב-2015-05-08.
^ "draft-ietf-jose-json-web-signature-41 - JSON Web Signature (JWS)". tools.ietf.org. נבדק ב-2015-05-08.
^ "draft-ietf-jose-json-web-encryption-40 - JSON Web Encryption (JWE)". tools.ietf.org. נבדק ב-2015-05-08.
^ John, Bradley; Nat, Sakimura; Michael, Jones. "JSON Web Token (JWT)". tools.ietf.org. נבדק ב-2016-11-14.
^ jwt-dotnet on GitHub
^ "jpadilla/pyjwt". GitHub (באנגלית). נבדק ב-2017-03-21.
^ lcobucci/jwt on GitHub
^ ruby-jwt on GitHub
^ frank_jwt on GitHub
^ jwt-scala on GitHub
^ cljwt on GitHub

[1] Sevilleja, Chris. "The Anatomy of a JSON Web Token". נבדק ב-2015-05-08.

[2] "Atlassian Connect Documentation". developer.atlassian.com. נבדק ב-2015-05-08.

[הערה_מספר_20171213063500:0-3] "JSON Web Tokens - jwt.io". jwt.io. נבדק ב-2015-05-08.

[auth0-4] McLean, Tim (31 במרץ 2015). "Critical vulnerabilities in JSON Web Token libraries". Auth0. נבדק ב-2016-03-29. {{cite web}}: (עזרה)

[5] "draft-ietf-oauth-json-web-token-32 - JSON Web Token (JWT)". tools.ietf.org. נבדק ב-2015-05-08.

[הערה_מספר_20171213063500:1-6] "draft-ietf-jose-json-web-signature-41 - JSON Web Signature (JWS)". tools.ietf.org. נבדק ב-2015-05-08.

[הערה_מספר_20171213063500:2-7] "draft-ietf-jose-json-web-encryption-40 - JSON Web Encryption (JWE)". tools.ietf.org. נבדק ב-2015-05-08.

[Bradley-8] John, Bradley; Nat, Sakimura; Michael, Jones. "JSON Web Token (JWT)". tools.ietf.org. נבדק ב-2016-11-14.

[9] wt-dotnet on GitHub

[10] "jpadilla/pyjwt". GitHub (באנגלית). נבדק ב-2017-03-21.

[11] ucci/jwt on GitHub

[12] ruby-jwt on GitHub

[13] rank_jwt on GitHub

[14] wt-scala on GitHub

[15] wt on GitHub

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]