Questo sito è disponibile anche in English.Passa a English
KAITUM AIIl nostro marchio interno — execution AI per le vendite automotive.Su nrmnext.com
Wiki

JWT.

Team Wiki··2 min di lettura

JSON Web Token — token compatti e firmati per l'autenticazione. Quando sono utili, quando vengono sopravvalutati.

Categoria · Sicurezza & Compliance

Un token firmato, in chiaro.

Un JSON Web Token è un pacchetto di dati compatto e firmato: header, payload e firma, codificati in base64. La firma garantisce che il contenuto non sia stato manipolato — ma non lo cifra. Chi possiede il token può leggerne il contenuto.

Tipicamente un JWT contiene chi è l'utente, quando scade il token e quali diritti porta con sé. Il server può verificarlo senza interrogare un database a ogni richiesta.

Quando sono utili.

I JWT danno il meglio nei sistemi distribuiti e senza stato — ad esempio quando più servizi devono verificare la stessa identità senza condividere una sessione comune. In combinazione con OAuth/OIDC, sono la norma come access token di breve durata.

Li usiamo dove lo stateless è davvero un vantaggio, e teniamo la durata breve.

Quando vengono sopravvalutati.

L'errore più grande: un JWT emesso non si può revocare facilmente — fino alla scadenza, è valido. Per sessioni classiche con logout immediato, una sessione lato server è spesso la scelta più onesta.

Chi scrive dati sensibili nel payload o tiene i token validi per mesi, ha frainteso il formato.

APPROFONDIRE

Si adatta a un tema da voi?

Se volete parlarne per trasferirlo al vostro contesto — 30 minuti bastano per iniziare.

Altri articoli