JSON Web Token (JWT)

การยืนยันด้วย JSON Web Token (JWT) เป็นวิธีการยืนยันที่เป็นที่นิยมในการพัฒนาเว็บแอปพลิเคชันและ API เพราะมันเป็นวิธีที่ปลอดภัยและง่ายต่อการข้ามข้อมูลระหว่างไคลเอ็นต์และเซิร์ฟเวอร์. JWT เป็นโทเค็นที่เข้ารหัสและปลอดภัยซึ่งเก็บข้อมูลผู้ใช้ (claims) ภายใน JSON object และสามารถใช้เพื่อยืนยันตัวตนและข้อมูลสิทธิ์การเข้าถึง (authorization)

วิธีการทำงานของ JWT ในกระบวนการยืนยันคือ

1.การล็อกอิน (Authentication):

• ผู้ใช้ป้อนข้อมูลล็อกอิน (เช่น ชื่อผู้ใช้และรหัสผ่าน)
• เซิร์ฟเวอร์ตรวจสอบข้อมูลและถ้าถูกต้อง, เซิร์ฟเวอร์จะสร้าง JWT ที่มีข้อมูลของผู้ใช้ (claims) เช่น userID, ชื่อผู้ใช้, สิทธิ์การเข้าถึง, และอื่นๆ
• JWT นี้จะถูกเข้ารหัสและลงนามด้วยความลับ (secret) หรือคู่กุญแจสาธารณะ/ส่วนตัว (public/private key pair)

2.การส่งโทเค็น (Token Transmission):

• JWT ที่เกิดขึ้นจะส่งกลับไปยังไคลเอ็นต์
• ไคลเอ็นต์จะเก็บ JWT ไว้ (โดยปกติใน local storage, session storage, หรือใน cookie)

3.การยืนยันตัวตนและการเข้าถึง (Authentication and Authorization):

• ในคำขอต่อไปที่ไคลเอ็นต์ทำไปยังเซิร์ฟเวอร์, JWT จะถูกส่งไปใน header ของคำขอ, โดยทั่วไปใช้ Authorization header กับ Bearer schema
• เซิร์ฟเวอร์จะตรวจสอบ JWT ว่าถูกต้องและยังไม่หมดอายุโดยการตรวจสอบลายเซ็นดิจิทัล
• ถ้า JWT ถูกต้อง, เซิร์ฟเวอร์จะดำเนินการตามคำขอด้วยสิทธิ์ที่กำหนดใน JWT, ทำให้ไคลเอ็นต์สามารถเข้าถึงทรัพยากรที่อนุญาต

JWT ประกอบด้วยสามส่วน: Header, Payload, และ Signature ตัวอย่างของโครงสร้าง JWT:

xxxxx.yyyyy.zzzzz 

• Header: ประกอบด้วยข้อมูลเกี่ยวกับวิธีการเข้ารหัสของ JWT (เช่น, ประเภทของโทเค็น, ซึ่งโดยทั่วไปจะเป็น JWT, และอัลกอริธึมที่ใช้ลงนาม, เช่น HS256 หรือ RS256)
• Payload: มี claims ซึ่งเป็นข้อมูลที่ JWT ถูกใช้เพื่อแสดง (เช่น, ข้อมูลผู้ใช้)
• Signature: เป็นส่วนที่เซิร์ฟเวอร์ใช้เพื่อตรวจสอบว่า JWT ไม่ถูกปลอมแปลงตั้งแต่ถูกสร้าง

อ่านเพิ่มเติมได้จาก https://research.securitum.com/jwt-json-web-token-security/