Zum Hauptinhalt springen

JSON Web Token (JWT)

Nach einer erfolgreichen Anmeldung erstellt die Platrona Backend API einen JSON Web Token (JWT).

Dieser Token dient als Nachweis einer erfolgreichen Authentifizierung und wird für alle geschützten API-Anfragen verwendet.

Dadurch muss sich der Benutzer nicht bei jeder Anfrage erneut anmelden.


Ablauf


Aufbau

Ein JWT besteht aus drei Bestandteilen:

  • Header
  • Payload
  • Signatur
HEADER.PAYLOAD.SIGNATURE

Die Signatur schützt den Token vor Manipulation.


Enthaltene Informationen

Der JWT enthält ausschließlich Informationen, die für die Authentifizierung notwendig sind.

Beispielsweise:

  • Benutzer-ID
  • Benutzerrolle
  • Ablaufzeit
  • Token-ID

Es werden keine sensiblen Daten wie Passwörter gespeichert.


Gültigkeit

JWT Access Tokens besitzen eine begrenzte Lebensdauer.

Nach Ablauf verliert der Token automatisch seine Gültigkeit.

Für eine erneute Authentifizierung wird anschließend der Refresh Token verwendet.


Sicherheit

JWTs werden serverseitig signiert.

Manipulierte Tokens werden automatisch erkannt und abgelehnt.

Zusätzlich wird geprüft:

  • Ablaufdatum
  • Signatur
  • Token-Typ
  • Benutzerstatus

Verwendung

Der JWT wird bei geschützten API-Anfragen im Authorization-Header übertragen.

Authorization: Bearer <access_token>

Vorteile

Die Verwendung von JWT bietet mehrere Vorteile:

  • zustandslose Authentifizierung
  • hohe Performance
  • einfache Skalierbarkeit
  • zentrale Authentifizierung
  • plattformübergreifende Nutzung

Zugehörige Dokumentation

  • Login
  • Refresh Token
  • Session Management

Der JWT ermöglicht eine sichere und effiziente Authentifizierung zwischen Client und Backend API.