JWT 【JSON Web Token】

概要

JWT(JSON Web Token)とは、JSON形式で表現された認証情報などをURL文字列などとして安全に送受信できるよう、符号化デジタル署名の仕組みを規定した標準規格。IETFによってRFC 7519として標準化されている。

認証アクセス制御についての情報をJSON形式で記述し、一定の手順で符号化した「トークン」(token)を生成することができる。トークンはサーバとクライアントの間で送受信され、相手方で複合して記述されたデータを読み取る。公開鍵暗号に基づくメッセージ認証コード(MAC)により、改竄やすり替え(なりすまし)が行われていないことを確認できる。

ヘッダー(header)、ペイロード(payload)、署名(signature)の3つの部分に分かれており、これらをそれぞれBase64URL(Base64URLパラメータ仕様に適合させたもの)方式で符号化して「.」(ピリオド)で連結したものがトークンとなる。

ヘッダーはトークンや署名の形式についての情報を格納する部分で、「alg」フィールドに署名アルゴリズムを指定する。オプションで「typ」「cty」フィールドがあるが、JSON Web Encryptionなど他の技術と組み合わせたりトークンの入れ子を行う場合などに使用するもので、通常のトークンでは「typ:"JWT"」とだけ指定する。

ペイロードは伝達する情報の本体で、システムが必要とするデータを任意に指定することができる。規格上意味が定められている「登録済みクレーム」を使うこともでき、「iss」(発行者:issuer)、「sub」(主題:subject)、「aud」(受信者:audience)、「exp」(有効期限:expiration)などのフィールドが規定されている。

署名はトークンの作成者の本人証明に用いるデータで、ヘッダーとペイロードを符号化したものを連結し、本人の秘密鍵とともに署名アルゴリズムで計算することで生成される。署名方式にはHMAC SHA-256やRSA-SHA256などが用いられ、受信側で対になる公開鍵を使って検証することで、改竄や偽造が行われていないか確かめることができる。

(2021.9.15更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。