JSON Web Token|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. JSON Web Token
             

JSON Web Token

JSON Web Token(JWT)は、JSON形式でデータを記述したトークンであり、主に認証や情報の安全な交換に使用されます。JWTは、トークンの署名を通じてデータの改ざんを防ぎ、受信者がデータの信頼性を検証できる仕組みを提供します。主にWebアプリケーションやAPIの認証プロセスで広く利用されています。

JWTは、認証(Authentication)情報の安全な交換セッション管理などの目的で活用され、軽量で移植性が高い特性から、様々なシステムやプラットフォームで採用されています。

JWTの構造

JWTは、以下の3つの部分から構成されるトークンです。それぞれの部分はドット(.)で区切られています。

  1. Header(ヘッダー)
    • トークンのタイプ(JWT)と使用される署名アルゴリズム(例: HMAC SHA256、RSA)を指定します。
    • 例: 
      {
  "alg": "HS256",
  "typ": "JWT"
}
  2. Payload(ペイロード)
    • トークンに含まれるクレーム(Claim)と呼ばれるデータを格納します。クレームには以下のような情報が含まれます。
      • 登録済みクレーム(例: iss=発行者、exp=有効期限、sub=対象者)
      • 公開クレーム(アプリケーション固有のデータ)
      • 非公開クレーム(共有が限定される情報)
    • 例: 
      {
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}
  3. Signature(署名)
    • ヘッダーとペイロードを結合し、秘密鍵または公開鍵を使用して暗号学的に署名します。
    • 例: 
      HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  secret
)

JWT全体の例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

JWTの使用例

1. 認証

ユーザーがログインすると、サーバーがJWTを生成してクライアントに返します。以降、クライアントはリクエストごとにこのJWTをヘッダーに含めて送信し、サーバーがユーザーの認証を行います。

例:

  • リクエスト: 
    Authorization: Bearer <JWT>

2. 情報の安全な交換

JWTにデータを含めて署名することで、送信者の信頼性とデータの整合性を保証し、安全に情報をやり取りできます。

JWTの利点

  1. 軽量で効率的
    • コンパクトな形式で、HTTPヘッダーやURLクエリパラメータとして送信可能。
  2. クロスプラットフォーム対応
    • JSONベースであり、あらゆるプログラミング言語やプラットフォームで利用可能。
  3. 署名による信頼性の保証
    • 署名によりトークンの改ざんを防止。
  4. 状態をサーバーに保存しない
    • サーバー側でセッション情報を保存する必要がなく、スケーラビリティが向上。

JWTの課題

  1. サイズの制約
    • ペイロードの情報量が多いとトークンサイズが増加し、通信コストが上がる。
  2. 署名は暗号化ではない
    • ペイロードは署名されているだけで暗号化されていないため、機密情報を格納すると漏洩のリスクがある。
  3. 有効期限の設定が重要
    • 有効期限(exp)を適切に設定しないと、不正利用のリスクが高まる。
  4. 無効化が難しい
    • トークン自体に状態を持たないため、発行後の無効化が困難。

JWTの実装例

1. トークンの生成(Node.js)

const jwt = require('jsonwebtoken');

const payload = { sub: '1234567890', name: 'John Doe', admin: true };
const secret = 'your-256-bit-secret';

const token = jwt.sign(payload, secret, { algorithm: 'HS256', expiresIn: '1h' });
console.log(token);

2. トークンの検証(Node.js)

const decoded = jwt.verify(token, secret);
console.log(decoded);

JWTと他の認証手法の比較

特徴 JWT セッションベース
状態の保存 サーバー側に保存不要 サーバーで状態を保持
スケーラビリティ 高い サーバーリソース依存
セキュリティ 署名で改ざん防止 セッションIDを保護
情報量 ペイロードが増えると負担 セッションデータはサーバー内

まとめ

JWTは、認証や安全な情報交換のための効率的で柔軟なソリューションを提供します。その軽量な設計と署名によるデータ整合性の保証は、特に分散システムやモバイルアプリケーションで有用です。ただし、機密情報の扱いや有効期限の設定など、適切な運用がセキュリティ確保の鍵となります。正しい設計と実装を通じて、JWTを効果的に活用することが可能です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。