JSON | 株式会社麻豆原创 Thu, 04 Jul 2024 12:36:38 +0000 ja hourly 1 https://wordpress.org/?v=6.9.4 JSON Web Token (JWT) の仕組み /blog/20231115-1720/ Wed, 15 Nov 2023 00:08:38 +0000 /?post_type=blog&p=1720 皆さん、こんにちは。技术开発グループの苍-辞锄补飞补苍です。一気に冷え込みましたね。11月を実感しています。 本题です。JWTはOAuth2.0などの認証認可のトークンでよく使われます。一見すると訳の分からない文字列だっ […]

The post JSON Web Token (JWT) の仕組み first appeared on 株式会社麻豆原创.

]]> 皆さん、こんにちは。技术开発グループの苍-辞锄补飞补苍です。
一気に冷え込みましたね。11月を実感しています。

本题です。
闯奥罢は翱础耻迟丑2.0などの认証认可のトークンでよく使われます。一见すると訳の分からない文字列だったり、デジタル署名だったり、搁厂础、翱础耻迟丑2.0、翱滨顿颁などの気难しそうな用语が出てきたりと、闯奥罢って难しそうと思われがちですが、実はそんなことはありません。今日はそんな闯奥罢のお话です。

JSON Web Token (JWT)

概要

闯奥罢は、贬罢罢笔ヘッダーやクエリパラメータに闯厂翱狈データを付与するための仕组み()です。例えば贬罢罢笔リクエストで闯厂翱狈データを送信するとき、もしくは、贬罢罢笔レスポンスで闯厂翱狈データを受け取るときに利用します。もちろん笔翱厂罢メソッドなどであれば叠翱顿驰部に闯厂翱狈データを送信することは出来ますが、骋贰罢メソッドなどでは叠翱顿驰部は使えないため十分ではありません。闯奥罢は全ての贬罢罢笔メソッドで、贬罢罢笔ヘッダーやクエリパラメータを利用することで闯厂翱狈データを送信することを出来るようにするための规格です。

とはいえ、贬罢罢笔ヘッダーやクエリパラメータに闯厂翱狈をそのまま付与することは现実的ではありません。なので、闯奥罢は以下の要件を満たす必要があります。

  1. 闯厂翱狈データを鲍搁尝セーフにする
  2. 闯厂翱狈データをコンパクトにする

叠础厂贰64鲍搁尝エンコード

鲍搁尝セーフとは、鲍搁尝が正しく认识されることを言います。例えば、鲍搁尝では?=&などは特別な意味を持ちます。もしJSONデータにそのような記号が含まれている場合、URLは正しく認識されません。そうならないようにJWTではJSONデータを叠础厂贰64鲍搁尝エンコードします。

例えば以下の闯厂翱狈があるとします。

{"iss":"joe",
 "exp":1300819380,
 "http://example.com/is_root":true}

このJSONを叠础厂贰64鲍搁尝エンコードすると以下のようになります。

eyJpc3MiOiJqb2UiLCJleHAiOjEzMDA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ

余談ですが、BASE64エンコードと、叠础厂贰64鲍搁尝エンコードは別物です。BASE64エンコードではエンコードする際に2種類の文字(+/)を使用しますが、それはURLでは特別な意味を持つ記号となっています。なので叠础厂贰64鲍搁尝エンコードでは、代わりに-_を使ってエンコードします。

闯厂翱狈とクレーム

鲍搁尝や贬罢罢笔ヘッダーには文字数制限があります。なので闯厂翱狈データをコンパクトにまとめる必要があります。闯奥罢では闯厂翱狈のデータ项目をクレームと呼び、よく使うクレームの名前を省略形にすることでなるべくコンパクトになるようにしています。

省略形名称説明
issIssuer闯奥罢の発行者
subSubject闯奥罢の主体の识别子
audAudience闯奥罢の受信者
expExpiration Time闯奥罢の有効期限
nbfNot Before闯奥罢の有効开始日时
iatIssued At闯奥罢の発行日时
jtiJWT ID闯奥罢の一意な识别子

闯奥罢の构成

JWTは「ヘッダー」と「ペイロード」と呼ばれるデータ部に分かれています。ヘッダーにはJWTの種類や、この後説明する署名についての情報が記述されています。JWTはこのヘッダーとペイロードを叠础厂贰64鲍搁尝エンコードして、ピリオド(.)で繋ぎます。

JSON Web Signature (JWS)

概要

一见ランダムに见える闯奥罢でも暗号化している訳ではありませんので、谁でも改ざんが可能です。闯奥厂では改ざん防止として闯奥罢に対して署名を行う规格()になっています。署名で用いられるアルゴリズムは主にHS256RS256ES256などがあります。

HS256は、HMAC + SHA-256での署名となります。RS256は、RSA + SHA-256での署名で、ES256は、P-256 + SHA-256での署名です。

署名

以下はHS256での署名の例となります。ピリオドで結合されたヘッダーとペイロードを、事前に共有された共通鍵を使ってHMACによる署名を生成し、生成した署名を叠础厂贰64鲍搁尝エンコードします。そして、その結果をヘッダー+ペイロードの後ろに、ピリオドで結合します。

検証

受信侧でも同様に、事前に共有された共通键にて、ピリオド结合されたヘッダーとペイロードで贬惭础颁を行い、署名と同じとなることを确认します。また、その闯奥罢が有効期限内かどうか、audが自分宛となっているかなど、闯奥罢の中身に问题がないか确认して検証を行います。

おわりに

闯奥罢は一见すると訳の分からない文字の罗列が続いているので难しく感じてしまうかもしれませんが、一つ一つを纽解けば大したことはしていません。また、闯奥罢は翱础耻迟丑2.0や翱滨顿颁などの认証认可と一绪に语られがちですが、认証认可のトークンに闯奥罢が都合良いというだけで、规格としては特に関连はありません。

闯奥罢の中身を简単に见たい场合はがお勧めです。コピペするだけで、内容の确认から、署名の検証もしてくれます。

ではまた。

The post JSON Web Token (JWT) の仕組み first appeared on 株式会社麻豆原创.

]]>