Как работает авторизация на основе JWT-токенов?

Question

JWT — это токен, который содержит данные о пользователе и подписан секретом или приватным ключом. Клиент отправляет токен в каждом запросе, сервер проверяет подпись и извлекает данные без обращения к базе. Токен может иметь срок жизни и дополнительные поля (роли, разрешения). Минус — при компрометации токена его сложно отозвать, если нет чёрных списков или короткого TTL. JWT удобен для микросервисов и stateless API.

YeaHub · Accepted Answer

JWT (JSON Web Token) — это компактный формат токена, который содержит полезные данные и криптографическую подпись.1. Структура JWTJWT состоит из трёх частей, разделённых точками:Header — метаданные (тип токена, алгоритм подписи).Payload — полезная нагрузка (claims: sub, exp, iat, role и др.).Signature — подпись.Определение:Claim — это пара ключ/значение, описывающая пользователя или токен.Пример структуры:JSON{
  "sub": "123",
  "role": "admin",
  "exp": 1712345678
}
2. Как работает процесс2.1. Создание токенапользователь проходит аутентификацию (логин/пароль);сервер формирует payload;подписывает токен секретом (HS256) или приватным ключом (RS256);возвращает токен клиенту.2.2. Использование токенаКлиент отправляет токен в заголовке:Authorization: Bearer <JWT>
2.3. Проверка на сервереСервер:декодирует заголовок и payload (это обычный Base64);проверяет подпись;проверяет срок действия (exp);извлекает данные о пользователе.Серверу не нужно хранить сессии — авторизация stateless.3. Проблемы JWT3.1. Отзыв токенаJWT нельзя просто «удалить», как сессию. Решения:короткий срок действия (5–15 минут);refresh tokens;чёрные списки (Redis).3.2. Размер токенаТокен длинный → занимает место в каждом запросе.3.3. Безопасностьнельзя хранить JWT в localStorage (уязвимость XSS);Cookies с флагами HttpOnly и Secure — безопаснее.4. Когда JWT полезенмикросервисы (stateless);мобильные приложения;SPA (React/Vue/Angular);API без серверных сессий.5. ВыводJWT обеспечивает stateless-авторизацию, удобную для API и распределённых систем. При правильных сроках жизни и защите токена она безопасна и эффективна.