JWT (JSON Web Token)
JWT ist ein kompaktes, URL-sicheres Token-Format für Claims zwischen Parteien. Format: Header.Payload.Signature (Base64-kodiert). Verwendet für stateless Authentication.
detaillierte erklärung
JSON Web Token (JWT) ist ein offener Standard (RFC 7519) für selbst-enthaltene Token. Struktur: 1) Header - Algorithmus (z.B. HS256, RS256) und Typ (JWT). 2) Payload - Claims (Nutzdaten): iss (Issuer), sub (Subject/User-ID), exp (Expiration), iat (Issued At), custom Claims. 3) Signature - HMAC oder RSA-Signatur über Header+Payload. Format: Base64(Header).Base64(Payload).Base64(Signature). Vorteile: Stateless (Server muss keine Session-DB vorhalten), Skalierbarkeit (horizontale Skalierung ohne Shared-State), Cross-Domain (Single-Sign-On). Nachteile: Nicht widerrufbar (Logout funktioniert nur client-seitig, Token bleibt bis Expiration gültig), größer als Session-IDs, sensible Daten im Payload lesbar (Base64 ≠ Verschlüsselung). Sicherheit: Signature mit starkem Key (HS256 min 256 Bit), kurze Expiration (15min Access-Token, länger Refresh-Token), HTTPS-Only, keine sensiblen Daten in Payload.
warum ist das wichtig?
JWT ist Standard für moderne Web-APIs und Microservices - du musst verstehen, warum none-Algorithm gefährlich ist, dass Payload lesbar ist (Base64 decode) und wie Signature-Validation funktioniert. Essentiell für Web-Security (CEH, OSCP-Web).
häufige fehler
- ⚠JWT ist verschlüsselt - Nein, Payload ist Base64 (lesbar), nur signiert (Integrität, nicht Vertraulichkeit)
- ⚠JWT kann widerrufen werden - Schwierig, da stateless (braucht Blocklist-DB oder kurze Expiration)
- ⚠none-Algorithm ist ok - NEIN, kritische Schwachstelle (Angreifer entfernt Signature, setzt alg: none)