JSON Web Token — token compatti e firmati per l'autenticazione. Quando sono utili, quando vengono sopravvalutati.
Categoria · Sicurezza & Compliance
Un token firmato, in chiaro.
Un JSON Web Token è un pacchetto di dati compatto e firmato: header, payload e firma, codificati in base64. La firma garantisce che il contenuto non sia stato manipolato — ma non lo cifra. Chi possiede il token può leggerne il contenuto.
Tipicamente un JWT contiene chi è l'utente, quando scade il token e quali diritti porta con sé. Il server può verificarlo senza interrogare un database a ogni richiesta.
Quando sono utili.
I JWT danno il meglio nei sistemi distribuiti e senza stato — ad esempio quando più servizi devono verificare la stessa identità senza condividere una sessione comune. In combinazione con OAuth/OIDC, sono la norma come access token di breve durata.
Li usiamo dove lo stateless è davvero un vantaggio, e teniamo la durata breve.
Quando vengono sopravvalutati.
L'errore più grande: un JWT emesso non si può revocare facilmente — fino alla scadenza, è valido. Per sessioni classiche con logout immediato, una sessione lato server è spesso la scelta più onesta.
Chi scrive dati sensibili nel payload o tiene i token validi per mesi, ha frainteso il formato.
