JSON Web Tokens — compacte, gesigneerde tokens voor auth. Wanneer ze nuttig zijn, wanneer ze worden overschat.
Categorie · Security & Compliance
Een gesigneerd token in leesbare tekst.
Een JSON Web Token is een compact, gesigneerd datapakket: header, payload en signatuur, base64-gecodeerd. De signatuur waarborgt dat de inhoud niet gemanipuleerd is — maar versleutelt hem niet. Wie het token heeft, kan de inhoud lezen.
Typisch bevat een JWT wie de gebruiker is, wanneer het token verloopt en welke rechten het draagt. De server kan dat controleren zonder bij elke aanvraag een database te raadplegen.
Wanneer ze nuttig zijn.
JWT's spelen hun kracht uit in stateloze, gedistribueerde systemen — bijvoorbeeld wanneer meerdere services dezelfde identiteit moeten controleren zonder een gedeelde sessie te delen. In samenspel met OAuth/OIDC zijn ze als kortlevende access-tokens het normale geval.
Wij zetten ze in waar stateless werkelijk een voordeel is, en houden de looptijd kort.
Wanneer ze overschat worden.
De grootste misvatting: een uitgegeven JWT laat zich niet zomaar intrekken — tot het verloopt, is het geldig. Voor klassieke sessies met directe logout is een serverside sessie vaak de eerlijkere keuze.
Wie gevoelige zaken in de payload schrijft of tokens maandenlang geldig houdt, heeft het formaat verkeerd begrepen.
