JSON Web Token

JSON Web Token (JWT, hääldatakse /dʒɒt/, või "džot"^[1]) on võimalik internetistandard andmete loomiseks koos valikulise digitaalallkirja ja/või krüptimisega, mis sisaldab JSON-i, mis omakorda seab ette teatud arvu väiteid. Tõendid allkirjastatakse avaliku ja salajase võtmega.

Näiteks võib server luua tõendi, millel on väide "sisse logitud administraatorina" ning anda selle kliendile. Klient saab seejärel tõendit kasutada tõestamaks, et on sisse logitud administraatorina. Tõendeid saab allkirjastada ühe osapoole salajase võtmega (tavaliselt serveri omaga) nii, et nimetatud osapool saab hiljem kontrollida tõendi õigsust. Kui teisel osapoolel on sobival ja usaldusväärsel viisil olemas vastav avalik võti, on ka teine osapool võimeline kontrollima tõendi õigsust. Tõendid on loodud kompaktselt^[2], URL-i jaoks turvaliselt^[3] ning kasutamiseks eelkõige veebibrauseri ühekordse sisselogimise (single sign-on, SSO) kontekstis.^[4]^[5]

JWT tugineb teistele JSON-il põhinevatele standarditele: JSON Web Signature ja JSON Web Encryption .^[1]^[6]^[7]

Struktuur

Päis	{ "alg": "HS256", "typ": "JWT" }	Tuvastab algoritmi, mille alusel allkiri luuakse `HS256` tähendab, et tõend on allkirjastatud algoritmiga HMAC-SHA256. Tavalised algoritmid mida kasutatakse on HMAC pluss SHA-256 (HS256) ja RSA allkiri pluss SHA-256 (RS256). JWA (JSON Web Algorithms) RFC 7518 tutvustab veel teisigi kasutatavaid algoritme.^[8]
Sisu	{ "loggedInAs": "admin", "iat": 1422779638 }	Sisaldab väiteid. JWT spetsifikatsioonis on kirjeldatud seitset erinevat nime väidetele, mis on standardväljad ja leiduvad tõendites tihti. Samuti leidub lisavälju, mis tulenevad tõendi eesmärgist. Selles näites on standardväli Issued At Time (väljastatud ajal, `iat`) ja lisaväli (logitud sisse kui, `loggedInAs`).
Allkiri	HMAC_SHA256( secret, base64urlEncoding(header) + '.' + base64urlEncoding(payload) )	Valideerib tõendi turvaliselt. Allkiri luuakse šifreerides nii päis kui sisu kasutades Base64url kodeeringut (RFC 4648) ja ühendades need kasutades eraldajana punkti. Tulemus läbib seejärel päises kirjeldatud algoritmi, näites HMAC-SHA256.

Kõik kolm osa kodeeritakse seejärel uuesti kasutades Base64url kodeeringut, ning ühendatakse kokku kasutades eraldajana punkte JWT tõendi loomiseks:

const token = base64urlEncoding(header) + '.' + base64urlEncoding(payload) + '.' + base64urlEncoding(signature)

Saadud JWT tõend ja "secretkey" ehk salajane võti loovad tõendi:

pre

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI

Saadud tõendi saab hõlpsasti HTML-i ja HTTP-sse edasi anda.^[3]

Kasutus

Kui kasutaja logib edukalt sisse luuakse ja tagastatakse JWT tõend, mis seejärel salvestatakse lokaalselt (tavaliselt lokaalsesse- või sessioonimällu, kuid kasutada saab ka küpsiseid). Võrdluseks luuakse traditsiooniselt sessioon serveris ning kasutajale tagastatakse vaid küpsis, millega kasutajat hiljem ära tunda. Kui tegemist on ilma kasutajata protsessiga võib klient autentida ka otse luues ja ise allkirjastades JWT tõend koos salajase võtmega ja anda see edasi OAuth-i toetavale teenusele:

POST /oauth2/token?
Content-type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&assertion=eyJhb...

Kui klient annab edasi kehtiva JWT tõendi, loob server uue ligipääsutõendi (access_token), millega saab sooritada kutseid teenusele ja neid kliendile tagasi saata.

{
 "access_token": "eyJhb...",
 "token_type": "Bearer",
 "expires_in": 3600
}

Kui klient soovib juurdepääsu kaitstud marsruudile või ressursile, peaks ta saatma JWT tõendi Authorization päisesse, kasutades Bearer skeemi.

Volitus: kandja eyJhbGci ... < snip > ... yu5CSpyHI

See on olekuta autentimismehhanism, kuna kasutaja olekut ei salvestata kunagi serveri mällu. Serveris kaitstud marsruudid otsivad päises kehtivat JWT tõendit ning kui see on olemas, antakse kliendile ligipääs kaitstud ressurssidele. Kuna JWT tõendid on iseseisvad, on kõik vajalikud andmed olemas ning andmebaasi ei pea tegema mitmeid päringuid.

Standardväljad

Kood	Nimi	Kirjeldus
colspan="2" class="table-rh" Mall:Rh \| Tavalised väited	Järgmised standardväljad (väited) on väljad, mis tihtipeale leiduvad JWT sisus.
`iss`	Väljaandja	Tuvastab JWT väljastanud printsipaali.
`sub`	Teema	Tuvastab JWT teema.
`aud`	Sihtrühm	Määrab adressaadid, kellele JWT on mõeldud. Iga JWT töötlemiseks mõeldud printsipaal peab tuvastama end sihtrühma väites oleva väärtusega. JWT tuleb vastasel juhul tagasi lükata.
`exp`	Aegumisaeg	Määrab aegumisaja, mille möödumisel ei tohi JWT-d töötlemiseks vastu võtta. Väärtus peab olema NumericDate, täis- või komakohaga arv, mis väljendab sekundeid peale 1. jaanuarit 1970 00:00 UTC.
`nbf`	Mitte varem kui	Määrab aja, millal hakatakse JWT-d töötlemiseks vastu võtma. Väärtus peab olema NumericDate.
`iat`	Väljaandmise aeg	Tuvastab aja, millal JWT väljastati. Väärtus peab olema NumericDate.
`jti`	JWT ID	Tõstutundlik unikaalne identifikaator tõendi tuvastamiseks, hoolimata väljastajast.
colspan="2" class="table-rh" Mall:Rh \| Tavaliselt kasutatavad päiseväljad	JWT päises kasutatakse tavaliselt järgmisi välju.
`typ`	Tõendi tüüp	Kui see on defineeritud, peab selle väärtus vastama registreeritud IANA meediumitüübile .
`cty`	Sisu tüüp	Kui kasutatakse pesastatud allkirjastamist või krüpteerimist, on soovitatav määrata selle väärtuseks `JWT` ; muul juhul tuleks seda välja mitte kasutada.^[1]
`alg`	Algoritm	Väljaandja võib enda valikul seada algoritmi, millega tõendil olevat allkirja ära tunda. Mõned algoritmid on ebaturvalised ning neid tuleks vältida.^[9]
`kid`	Võtme ID	Vihje, mis näitab, millist võtit klient tõendi allkirja loomiseks kasutas. Server sobitab selle väärtuse failis oleva võtmega, et kontrollida allkirja kehtivust ja tõendi õigsust.
`x5c`	x.509 sertifikaadiahel	Sertifikaat RFC4945-vormingus, mis vastab salajasele võtmele, mida kasutatakse tõendi allkirja genereerimiseks. Server kasutab seda teavet allkirja kehtivuse ja tõendi õigsuse kontrollimiseks.
`x5u`	x.509 sertifikaadiahela URL	Internetiaadress, kust server saab hankida sertifikaadiahela, mis vastab tõendi allkirja genereerimiseks kasutatud salajasele võtmele. Server hangib selle teabe ja kasutab seda allkirja õigsuse kontrollimiseks.
`crit`	Kriitiline	Päiste loend, millest server peab aru saama, et tõend kehtivaks tunnistada.
Kood	Nimi	Kirjeldus

Haavatavused

JWT tõendid võivad sisaldada sessiooni olekut, kuid kui projekti nõuded lubavad sessiooni kehtetuks tunnistamist enne JWT aegumist, ei saa teenused enam usaldada tõendi seatud väiteid tõendit kasutades. Sessiooni valideerimiseks peab seetõttu tõendi väiteid kontrollima andmebaasi abil. See tähendab aga, et tõend ei ole enam olekuta, mistõttu ei ole JWT kasutamisel enam eelist.^[10]

Turvakonsultant Tim McLean leidis mõnes JWT teegis haavatavused, mis kasutasid alg välja ebakorrektselt tõendite õigsuse kontrollimisel, tüüpiliselt tehes seda lubades alg=none tõendit. Kuigi nimetatud teekides on need haavatavused tänaseks prandatud, soovitab McLean alg väljast täielikult loobuda, et vältida tulevikus sarnaseid probleeme.^[9] Uusi alg=none haavatavusi leitakse aga siiamaani.^[11]

↑ ^1,0 ^1,1 ^1,2 Jones, Michael B.; Bradley, Bradley; Sakimura, Sakimura (2015. aasta mai). "JSON Web Token (JWT)". datatracker.ietf.org. Vaadatud 10. jaanuar 2022. {{netiviide}}: kontrolli kuupäeva väärtust: |aeg= (juhend)CS1 hooldus: mitu nime: autorite loend (link) Viitamistõrge: Vigane <ref>-silt; nime "rfc7519" on määratud mitu korda erineva sisuga.
↑ Nickel, Jochen (2016). Mastering Identity and Access Management with Microsoft Azure. Lk 84. ISBN 9781785887888. Vaadatud 20. juuli 2018.
↑ ^3,0 ^3,1 "JWT.IO - JSON Web Tokens Introduction". jwt.io. Vaadatud 10. jaanuar 2022. Viitamistõrge: Vigane <ref>-silt; nime "jwtintro" on määratud mitu korda erineva sisuga.
↑ Sevilleja, Chris. "The Anatomy of a JSON Web Token". Vaadatud 10. jaanuar 2022.
↑ "Atlassian Connect Documentation". developer.atlassian.com. Vaadatud 10. jaanuar 2022.
↑ "draft-ietf-jose-json-web-signature-41 - JSON Web Signature (JWS)". tools.ietf.org. Vaadatud 10. jaanuar 2022.
↑ "draft-ietf-jose-json-web-encryption-40 - JSON Web Encryption (JWE)". tools.ietf.org. Vaadatud 10. jaanuar 2022.
↑ "draft-ietf-jose-json-web-algorithms-40 - JSON Web Algorithms (JWA)". tools.ietf.org. Vaadatud 8. mail 2015.
↑ ^9,0 ^9,1 McLean, Tim (31. märts 2015). "Critical vulnerabilities in JSON Web Token libraries". Auth0. Vaadatud 29. märtsil 2016.
↑ Slootweg, Sven. "Stop using JWT for sessions". joepie91 Ramblings. Vaadatud 1. augustil 2018.
↑ "CVE - Search Results". cve.mitre.org.

[rfc7519-1] 1,0 ^1,1 ^1,2 Jones, Michael B.; Bradley, Bradley; Sakimura, Sakimura (2015. aasta mai). "JSON Web Token (JWT)". datatracker.ietf.org. Vaadatud 10. jaanuar 2022. {{netiviide}}: kontrolli kuupäeva väärtust: |aeg= (juhend)CS1 hooldus: mitu nime: autorite loend (link) Viitamistõrge: Vigane <ref>-silt; nime "rfc7519" on määratud mitu korda erineva sisuga.

[2] Nickel, Jochen (2016). Mastering Identity and Access Management with Microsoft Azure. Lk 84. ISBN 9781785887888. Vaadatud 20. juuli 2018.

[jwtintro-3] 3,0 ^3,1 "JWT.IO - JSON Web Tokens Introduction". jwt.io. Vaadatud 10. jaanuar 2022. Viitamistõrge: Vigane <ref>-silt; nime "jwtintro" on määratud mitu korda erineva sisuga.

[4] Sevilleja, Chris. "The Anatomy of a JSON Web Token". Vaadatud 10. jaanuar 2022.

[5] "Atlassian Connect Documentation". developer.atlassian.com. Vaadatud 10. jaanuar 2022.

[:1-6] "draft-ietf-jose-json-web-signature-41 - JSON Web Signature (JWS)". tools.ietf.org. Vaadatud 10. jaanuar 2022.

[:2-7] "draft-ietf-jose-json-web-encryption-40 - JSON Web Encryption (JWE)". tools.ietf.org. Vaadatud 10. jaanuar 2022.

[8] "draft-ietf-jose-json-web-algorithms-40 - JSON Web Algorithms (JWA)". tools.ietf.org. Vaadatud 8. mail 2015.

[auth0-9] 9,0 ^9,1 McLean, Tim (31. märts 2015). "Critical vulnerabilities in JSON Web Token libraries". Auth0. Vaadatud 29. märtsil 2016.

[10] Slootweg, Sven. "Stop using JWT for sessions". joepie91 Ramblings. Vaadatud 1. augustil 2018.

[11] "CVE - Search Results". cve.mitre.org.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]