JWTについて調べてみた

• JSON Web Token の略
• 電子署名付きのURL-safe（URLとして利用出来る文字だけ構成される）なJSON
• 電子署名により、JSON の改ざんをチェックできる

つまり、改ざんできないJSON

• 電子認証局から発行される「電子証明書」を用いて、なりすましの防止や情報の改ざんを防止する技術
• その文書が改ざんされていないことを確認するために使う

【署名者側】

1. データをハッシュ化する
2. 署名者は秘密鍵を使ってハッシュ値を暗号化する(電子署名)
3. 2を1のデータ(ハッシュ化してないもの)に添付して送る
   ↓
   【検証者側】
4. データをデコードする
5. 2の電子署名を公開鍵でデコード(署名者のハッシュ値が見れる)
6. 4と5を比較。ハッシュ値が同じならば改竄されていない。

• SessionIDに紐づくユーザー情報をサーバー側で持つ(Session)
• ログインが成功したユーザーが、SessionIDとそれに紐づくデータを作成し DBに保存(ユーザーID,名前etcの情報)
• ブラウザ側にはSessionIDのみを返却
• SessionIDはCookieに保存
• リクエスト時にHTTP HeaderのCookieをサーバーに送る
  
  

メリット、デメリット

つまり

SessionID = Sessionにアクセスする鍵

中には特に何の情報も入ってない

• ユーザー情報(user_id,有効期限)を含めて暗号化したトークンをサーバー側で発行
• 暗号化したトークンをCookieに保存(Local Storageに保存するメリットは個人的には不明...)
• 各リクエスト時、トークンを送信する
• サーバー側でトークンをデコードして、ユーザー情報などを確認
  
  

メリット、デメリット

つまり

トークン = 暗号化されたユーザー情報

暗号形式バレると詰む

• CokkieはここのところHttp-Onlyと呼ばれる、脆弱性対策が搭載されているらしい
• XSSの前にはCookieだろうがLocal Storageだろうが無力と思われる
• 情報を抜き取られるリスクを考慮して、パスワードetcの超極秘情報はブラウザに保存しないのが吉
• Cokkie, トークン内部に有効期限をつけると頻繁に内容を更新できていい感じな気がする

1. クライアントが、認証情報 (ログインID + パスワード) を送信
2. サーバは、認証情報を確認してuser_idとexp (有効期限)を含むJSONを秘密鍵で暗号化して JWTとして返却
3. 以降クライアントは、認証済みリクエストとしてJWTを利用して通信
   
   
   ★JWT はサーバで秘密鍵を利用して改ざん検証をおこなうので改竄を検知できる

{ヘッダ}.{ペイロード}.{署名}

{Base64エンコードされたヘッダ}.{Base64エンコードされた JSON の中身}.{電子署名}

☆algのみ必須項目


以下のフォーマットのJSONデータをbase64エンコードすることでヘッダが作成される

# 例

{
  "alg": "HS256",
  "typ": "JWT"
}

# タイプはJWT
# HMAC SHA-256アルゴリズムを使っている

• JSONの本体
• ヘッダ同様Base64エンコードで作成

• これらの項目は登録済みクレームと呼ばれる
• ペイロードセクションにはJSONフォーマットに規定はなく、必須のキー情報などはない
• けれど、登録済みクレームで定められた項目以外で利用するのは避けたほうが無難

以下のフォーマットのJSONデータをbase64エンコードすることでヘッダが作成される

# 例

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

• JWTの正当性を保証するための電子署名
• 至って普通に電子署名