Какие данные внутри JWT видны клиенту?

JWT часто ошибочно воспринимают как “безопасный контейнер”, хотя на самом деле он прозрачен для клиента.

Определение

JWT (JSON Web Token) — это токен, состоящий из трёх частей (header, payload, signature), где payload доступен для чтения всем.

Что именно видно клиенту

1. Header

   • Тип токена.

   • Алгоритм подписи.

2. Payload

   • Пользовательские данные (claims).

   • Стандартные поля (sub, exp, iat).

3. Структура токена

   • Части разделены точками.

Пример payload:

{
  "sub": "user_123",
  "role": "admin",
  "exp": 1700000000
}

Что НЕ защищает JWT

• Конфиденциальность данных.

• Сокрытие логики авторизации.

Подпись гарантирует целостность, но не скрывает содержимое.

Практическое правило

• В JWT кладут только:

  • идентификаторы,

  • роли,

  • служебные флаги.

• Никогда не кладут:

  • пароли,

  • токены сторонних сервисов,

  • персональные секреты.

Вывод

JWT можно читать с любой стороны, поэтому он подходит для передачи утверждений о пользователе, но не для хранения секретных данных.