JSON Web Tokens — kompakte, signierte Tokens für Auth. Wann sie nützlich sind, wann sie überschätzt werden.
Kategorie · Security & Compliance
Ein signiertes Token im Klartext.
Ein JSON Web Token ist ein kompaktes, signiertes Datenpaket: Header, Payload und Signatur, base64-kodiert. Die Signatur stellt sicher, dass der Inhalt nicht manipuliert wurde — sie verschlüsselt ihn aber nicht. Wer das Token hat, kann den Inhalt lesen.
Typisch enthält ein JWT, wer der Nutzer ist, wann das Token abläuft und welche Rechte es trägt. Der Server kann das prüfen, ohne bei jeder Anfrage eine Datenbank zu befragen.
Wann sie nützlich sind.
JWTs spielen ihre Stärke in zustandslosen, verteilten Systemen aus — etwa wenn mehrere Services dieselbe Identität prüfen müssen, ohne eine gemeinsame Session zu teilen. Im Zusammenspiel mit OAuth/OIDC sind sie als kurzlebige Access-Tokens der Normalfall.
Wir setzen sie dort ein, wo Stateless wirklich ein Vorteil ist, und halten die Laufzeit kurz.
Wann sie überschätzt werden.
Der größte Irrtum: Ein ausgestelltes JWT lässt sich nicht ohne Weiteres zurückziehen — bis es abläuft, ist es gültig. Für klassische Sitzungen mit sofortigem Logout ist eine serverseitige Session oft die ehrlichere Wahl.
Wer Sensibles in die Payload schreibt oder Tokens monatelang gültig hält, hat das Format missverstanden.
