JSON Web Token (JWT)
Nach einer erfolgreichen Anmeldung erstellt die Platrona Backend API einen JSON Web Token (JWT).
Dieser Token dient als Nachweis einer erfolgreichen Authentifizierung und wird für alle geschützten API-Anfragen verwendet.
Dadurch muss sich der Benutzer nicht bei jeder Anfrage erneut anmelden.
Ablauf
Aufbau
Ein JWT besteht aus drei Bestandteilen:
- Header
- Payload
- Signatur
HEADER.PAYLOAD.SIGNATURE
Die Signatur schützt den Token vor Manipulation.
Enthaltene Informationen
Der JWT enthält ausschließlich Informationen, die für die Authentifizierung notwendig sind.
Beispielsweise:
- Benutzer-ID
- Benutzerrolle
- Ablaufzeit
- Token-ID
Es werden keine sensiblen Daten wie Passwörter gespeichert.
Gültigkeit
JWT Access Tokens besitzen eine begrenzte Lebensdauer.
Nach Ablauf verliert der Token automatisch seine Gültigkeit.
Für eine erneute Authentifizierung wird anschließend der Refresh Token verwendet.
Sicherheit
JWTs werden serverseitig signiert.
Manipulierte Tokens werden automatisch erkannt und abgelehnt.
Zusätzlich wird geprüft:
- Ablaufdatum
- Signatur
- Token-Typ
- Benutzerstatus
Verwendung
Der JWT wird bei geschützten API-Anfragen im Authorization-Header übertragen.
Authorization: Bearer <access_token>
Vorteile
Die Verwendung von JWT bietet mehrere Vorteile:
- zustandslose Authentifizierung
- hohe Performance
- einfache Skalierbarkeit
- zentrale Authentifizierung
- plattformübergreifende Nutzung
Zugehörige Dokumentation
- Login
- Refresh Token
- Session Management
Der JWT ermöglicht eine sichere und effiziente Authentifizierung zwischen Client und Backend API.