Ответ
JWT (JSON Web Token) — это открытый стандарт (RFC 7519) для создания токенов доступа, которые в компактном и самодостаточном виде удостоверяют информацию (claims) о пользователе или системе. В распределенных системах JWT решает проблему безопасной передачи контекста аутентификации и авторизации между сервисами без необходимости хранить состояние сессии на сервере.
Токен состоит из трех частей, разделенных точками: Header, Payload и Signature.
Ключевые задачи, решаемые с помощью JWT:
- Stateless-аутентификация: Сервис, получивший токен, может проверить его подлинность с помощью цифровой подписи, не обращаясь к центральному хранилищу сессий. Это упрощает горизонтальное масштабирование.
- Авторизация: В
payloadтокена можно хранить данные о правах и ролях пользователя (claims). Любой микросервис, доверяющий издателю токена, может использовать эти данные для контроля доступа. - Безопасное межсервисное взаимодействие: Один сервис может сгенерировать токен для пользователя, а другие сервисы могут доверять этому токену и обслуживать запросы на его основании.
Пример генерации и верификации токена на Python с PyJWT:
import jwt
import datetime
# Секретный ключ, известный только доверенным сервисам
SECRET_KEY = "your-super-secret-key"
# Данные для включения в токен (payload)
payload = {
'user_id': 123,
'role': 'admin',
'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=1) # Срок жизни токена
}
# 1. Генерация токена
token = jwt.encode(payload, SECRET_KEY, algorithm="HS256")
print(f"Generated Token: {token}")
# 2. Верификация и декодирование токена на другом сервисе
try:
decoded_payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])
print(f"Decoded Payload: {decoded_payload}")
except jwt.ExpiredSignatureError:
print("Token has expired!")
except jwt.InvalidTokenError:
print("Invalid token!")Важно помнить: JWT по умолчанию подписан, но не зашифрован. Не храните в payload конфиденциальные данные без дополнительного шифрования (JWE).
Ответ 18+ 🔞
Да ты посмотри, что эти умники придумали, блядь! JWT, ёпта! JSON Web Token, сука! Это ж такая штука, чтобы один сервис другому мог на ухо шепнуть: «Слушай, этот чувак — свой, вот его права, вот когда срок кончится, и вообще, я за него ручаюсь, блядь!»
Вот представь: раньше сервисы друг другу не доверяли, как два кота на одной лестнице. Каждому надо было бегать в главную контору и спрашивать: «А Вася-то ещё в системе? А можно ему в этот раздел?». А теперь — раз! — выдали Васе бумажку с печатью (токен), и он с ней ходит по всем микросервисам, как VIP. Любой сервис глянет на подпись, убедится, что бумажка не поддельная, и сразу всё понимает. Никаких лишних вопросов, никакого центрального хранилища сессий, которое может лечь в самый неподходящий момент. Просто красота, в рот меня чих-пых!
А состоит эта бумажка, внимание, из трёх кусков, склеенных точками:
- Заголовок (Header) — там написано, какой алгоритм подписи использовали, типа «HS256». Ну, чтоб принимающая сторона знала, как проверять.
- Тело (Payload) — а вот тут самое интересное! Тут лежат все «утверждения» (claims) о пользователе: кто он, какие у него роли, и самое главное — когда эта бумажка превратится в тыкву (срок
exp). Можно ещё кучу всего напихать, но осторожно, ёпта! - Подпись (Signature) — вот это, блядь, магия! Берут заголовок и тело, кодируют, смешивают с секретным ключом (который знают только свои) и получают эту самую подпись. Если кто-то попробует в теле что-то поменять, подпись не сойдётся, и его сразу раскусят, как шпиона в штатском!
И зачем это всё, спрашивается?
- Аутентификация без состояния (Stateless). Серверу не надо помнить каждого юзера. Получил токен, проверил подпись — и всё, добро пожаловать. Масштабируется на раз-два, как горячие пирожки.
- Авторизация. В теле токена можно прописать, что Вася —
"role": "admin". И все сервисы, увидев это, сразу поймут, что ему можно в админку, а Пете с ролью"user"— низя. - Общение между сервисами. Один сервис (например, авторизационный) выдал токен, а все остальные ему верят. Как в хорошей банде, блядь — один дал знак, и все свои.
Смотри, как это в коде выглядит, на примере Python с библиотекой PyJWT:
import jwt
import datetime
# Секретный ключ, который знают только свои. Храни его, как зеницу ока, а то будет пиздец!
SECRET_KEY = "your-super-secret-key"
# Что зашифруем в токен (те самые claims)
payload = {
'user_id': 123,
'role': 'admin',
'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=1) # Через час токен сдохнет
}
# 1. Генерируем токен (штампуем ту самую бумажку)
token = jwt.encode(payload, SECRET_KEY, algorithm="HS256")
print(f"Сгенерированный токен: {token}")
# 2. Проверяем токен на другом сервисе
try:
decoded_payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])
print(f"Расшифрованные данные: {decoded_payload}")
except jwt.ExpiredSignatureError:
print("Токен протух, братан! Пора новый получать.")
except jwt.InvalidTokenError:
print("Токен фальшивый! На кол его!")И главное предупреждение, ёбана! JWT по умолчанию подписан, но не зашифрован. Любой, кто перехватит твой токен, может его раскодировать и прочитать, что внутри. Это как открытка, а не запечатанное письмо. Поэтому никогда, блядь, никогда не клади в payload пароли, номера кредиток и прочую конфиденциальную хуйню! Если очень надо — используй JWE (JSON Web Encryption), но это уже совсем другая история, ёперный театр.