JSON Web Token

JSON Web Token (JWT)^[1] je navržený internetový standard pro vytváření dat s volitelným podpisem a/nebo šifrováním, jehož datový obsah je ve struktuře JSON spolu s určitým počtem deklarací. Tokeny jsou podepsány buď pomocí sdíleného tajného klíče nebo veřejného/soukromého klíče.

Například určitý server by mohl vygenerovat token s tvrzením „přihlášen jako správce“ a poskytnout jej klientské aplikaci. Klient by pak mohl tento token použít k prokázání, že je přihlášen jako správce. Tokeny mohou být podepsány soukromým klíčem jedné strany (obvykle serveru), takže ten může následně ověřit, zda je token legitimní. Pokud druhá strana nějakým vhodným a důvěryhodným způsobem získá odpovídající veřejný klíč, je také schopna ověřit legitimitu tokenu. Tokeny jsou navrženy tak, aby byly kompaktní^[2], bezpečné pro URL^[3] a použitelné zejména v kontextu jednotného přihlášení (SSO) webového prohlížeče. Deklarace JWT lze obvykle použít k předání identity ověřených uživatelů mezi poskytovatelem identity a poskytovatelem služeb nebo k jakémukoli jinému typu deklarací, které vyžadují business procesy.

JWT spoléhá na další standardy založené na JSON: webovém podpisu JSON (JWS) a webovém šifrování JSON (JWE).