JWT|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. JWT
             

JWT

JWT(JSON Web Token)**は、JSON形式でデータを表現し、トークンとして安全に情報をやり取りするための標準規格(RFC 7519)です。主に認証やデータ交換に使用され、軽量で効率的な仕組みを提供します。JWTは署名または暗号化されることで、データの改ざん防止や送信者の認証が可能です。

主な用途としては、認証セッション管理情報の安全な交換が挙げられます。JWTはシンプルな構造と幅広い互換性から、WebアプリケーションやAPI認証に広く利用されています。

JWTの構造

JWTは3つの部分で構成され、各部分はドット(.)で区切られています。

  1. Header(ヘッダー)
    • トークンのメタデータを表し、トークンタイプ(JWT)と署名アルゴリズム(例: HS256、RS256)を指定します。
    • 例: 
      {
  "alg": "HS256",
  "typ": "JWT"
}
  2. Payload(ペイロード)
    • トークンに含まれる情報(クレーム)を格納します。クレームには以下の種類があります。
      • 登録済みクレーム(例: iss=発行者、exp=有効期限、sub=対象者)
      • 公開クレーム(アプリケーション固有のデータ)
      • 非公開クレーム(共有が限定されるデータ)
    • 例: 
      {
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}
  3. Signature(署名)
    • トークンの信頼性を保証するために使用されます。ヘッダーとペイロードを結合し、指定されたアルゴリズムと秘密鍵または公開鍵を使用して暗号化します。
    • 例(HS256の場合): 
      HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  secret
)

JWT全体の例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

JWTの用途

1. 認証

JWTは、ユーザー認証後にトークンとして発行され、クライアントがその後のリクエストで認証を示すために使用します。

  • フロー例:
    1. ユーザーがログイン。
    2. サーバーがJWTを発行し、クライアントに返す。
    3. クライアントはリクエスト時にJWTをAuthorizationヘッダーに含めて送信。
    4. サーバーはJWTを検証し、ユーザー認証を行う。
  • HTTPヘッダーの例: 
    Authorization: Bearer <JWT>

2. セッション管理

従来のセッションベースの認証と異なり、JWTはサーバーにセッション状態を保持する必要がありません。これにより、スケーラビリティが向上します。

3. 安全な情報交換

JWTは署名または暗号化されているため、送信者が改ざんされていないデータを安全に共有できます。

JWTのメリット

  1. 軽量で効率的
    • JSON形式をBase64URLエンコードすることで、HTTPヘッダーやURLクエリパラメータとして送信可能。
  2. クロスプラットフォーム対応
    • JSONを使用するため、さまざまなプラットフォームやプログラミング言語で利用可能。
  3. 署名によるデータ保護
    • 署名により、トークンの改ざんを防止し、信頼性を保証。
  4. サーバーレスセッション
    • トークン内にユーザー情報を含むため、サーバーにセッションを保持する必要がない。

JWTの課題

  1. ペイロードの非暗号化
    • 署名は改ざん防止のみを目的とするため、ペイロードは暗号化されません。機密情報を含める場合は暗号化(JWE:JSON Web Encryption)が必要。
  2. トークンの無効化が困難
    • トークンはステートレスであるため、発行後に無効化する仕組みが標準では用意されていません(例: ログアウト処理の難しさ)。
  3. サイズ増加の可能性
    • トークンに多くのデータを含めると、トークンサイズが大きくなり、通信コストが増加。
  4. 長期利用のリスク
    • 有効期限(exp)を適切に設定しないと、セキュリティリスクが高まる。

実装例

1. トークンの生成(Node.js)

const jwt = require('jsonwebtoken');

const payload = { sub: '1234567890', name: 'John Doe', admin: true };
const secret = 'your-256-bit-secret';

const token = jwt.sign(payload, secret, { algorithm: 'HS256', expiresIn: '1h' });
console.log(token);

2. トークンの検証(Node.js)

const decoded = jwt.verify(token, secret);
console.log(decoded);

JWTの使用例とベストプラクティス

  1. 短い有効期限を設定
    • トークンの有効期限を短くし、セキュリティリスクを軽減。
  2. HTTPSを必須化
    • JWTを送信する通信は必ずHTTPSを使用。
  3. リフレッシュトークンの導入
    • アクセストークンの有効期限が切れた場合に備えて、リフレッシュトークンを使用。
  4. トークンのブラックリスト
    • 無効化されたトークンをブラックリストに登録して管理。

JWTとセッションベース認証の比較

特徴 JWT セッションベース認証
サーバー状態の管理 サーバーに保存不要 サーバーにセッション情報を保持
スケーラビリティ 高い サーバーリソースに依存
データ改ざん防止 署名で保証 セッションIDの管理で保証
データのサイズ ペイロード次第で増減 セッションIDのみで小さい場合も

まとめ

JWTは、軽量で効率的なトークンベースの認証とデータ交換を実現します。特に、スケーラビリティやサーバーリソースの効率化が求められる環境に適しており、WebアプリケーションやAPI認証の主流技術となっています。ただし、機密情報の取り扱いやトークンの無効化などには注意が必要で、適切な設計と運用を通じて安全性を確保する必要があります。

JWTを効果的に活用することで、認証の効率化とセキュリティの向上が実現できます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。