Вопрос проверяет понимание stateless-аутентификации и работы токенов в backend-приложениях.
JWT-аутентификация основана на передаче подписанного токена между клиентом и сервером. Сервер проверяет подпись токена и извлекает данные пользователя. Состояние сессии на сервере не хранится. Это упрощает масштабирование. JWT часто используется в REST API.
JWT-аутентификация позволяет реализовать stateless-безопасность без серверных сессий.
JWT-аутентификация — это механизм аутентификации, при котором клиент передаёт серверу подписанный токен, содержащий данные пользователя и срок действия.
Перед перечислением важно понимать: сервер не хранит состояние сессии.
Клиент отправляет логин и пароль
Сервер проверяет данные
Сервер выдаёт JWT
Клиент отправляет JWT в заголовке Authorization
Формат: Bearer <token>
Токен передаётся с каждым запросом
Сервер проверяет подпись
Проверяет срок действия
Извлекает данные пользователя
JWT проверяется в фильтре
При успехе создаётся Authentication
Контекст безопасности заполняется
Stateless
Хорошо масштабируется
Не требует хранения сессий
Сложнее отзыв токенов
Требует аккуратной работы с безопасностью
Размер токена больше, чем session id
JWT-аутентификация подходит для stateless REST API и микросервисов, но требует аккуратной реализации и контроля срока жизни токенов.
