مُفكك تشفير JWT

ما هو رمز ويب JSON (JWT)؟

الـ JWT هو رمز مضغوط وآمن للاستخدام في عناوين URL يُستخدم لنقل المعلومات بأمان على شكل كائن JSON بين الأطراف.

الـ JWT هو طريقة معيارية لنقل البيانات بأمان على شكل كائنات JSON موقعة.

يتكون رمز JWT من ثلاثة أجزاء: الرأس (يحدد النوع والخوارزمية)، والحمولة (تحتوي على المطالبات)، والتوقيع (يضمن سلامة البيانات).

• رأس JWT: يحتوي على خوارزمية التوقيع ونوع التوكن.
• محتوى JWT: يتضمن مطالبات—معلومات المستخدم، الأدوار، أو بيانات الجلسة.
• توقيع JWT: يضمن أن الرمز المميز أصلي ولم يتم تعديله.

كيف تعمل رموز JWT

توفر رموز JWT المصادقة عن طريق تخزين الرموز على جانب العميل والتحقق من صحة التوقيع في كل طلب.

1. عند تسجيل دخول المستخدم، يقوم الخادم بإنشاء رمز JWT موقّع.
2. يتم إرسال JWT إلى المستخدم وتخزينه بأمان (عادةً في التخزين المحلي أو ملفات تعريف الارتباط).
3. يقوم العميل بإدراج رمز JWT في كل طلب إلى المسارات المحمية.
4. يقوم الخادم بالتحقق من توقيع JWT للسماح أو رفض الوصول.

استخدامات شائعة لـ JWT

تجعل رموز JWT عملية المصادقة وتبادل البيانات الآمن بسيطة وفعالة:

• مصادقة تسجيل دخول المستخدم لمواقع الويب والتطبيقات.
• تأمين نقاط النهاية الخاصة بواجهة برمجة التطبيقات وإدارة رموز الوصول بشكل آمن.
• معالجة رموز الهوية في تدفقات OAuth2 و OpenID Connect.
• حماية التطبيقات من هجمات تزوير طلبات عبر المواقع (CSRF) باستخدام رموز غير حالة.
• نقل بيانات المستخدم أو الجلسة المخصصة بأمان في المطالبات.

خصوصية وأمان JWT

للحفاظ على أمان رموز JWT الخاصة بك، تأكد دائماً من اتباع أفضل الممارسات التالية:

• تأكد دائمًا من التحقق من توقيعات JWT قبل الوثوق بالمحتوى.
• لا تستخدم أبدًا خوارزميات ضعيفة أو غير آمنة مثل 'none' في رموز JWT.
• حدد أوقات انتهاء مناسبة لتقليل المخاطر الناتجة عن التسرب.
• قم بتخزين رموز JWT بأمان (يفضل استخدام ملفات تعريف الارتباط HttpOnly بدلاً من localStorage).
• استخدم مطالبات الجمهور (aud) لتقييد استخدام الرمز.
• قم بتنفيذ طرق لإلغاء صلاحية الرموز أو استخدام فترات عمر قصيرة.

مصادر مرجعية عن JWT

• JWT Introduction
• RFC 7519 (JWT Spec)
• Auth0: Learn JWT
• Wikipedia: JSON Web Token