In questo articolo apprenderemo cos’è il Json Web Token. Se ti è capitato già di utilizzare Json nel corso della tua carriera da programmatore, potresti esserti imbattuto in questo strumento, abbreviato in JWT che JSON implementa.
Facciamo un piccolo passo indietro però.
JSON, cos’è?
È un formato di serializzazione basato su testo per lo scambio di dati tra server e app web. È la struttura più utilizzata all’interno dei database NoSQL. Acronimo di JavaScript Object Notation, è famoso per la diffusione del file json.
Il formato JSON è basato su due tipi di strutture di dati: serie di coppie nome/valore – {“name1″:”value1”, “name2″:”value2”} – e liste ordinate di valori, chiamate array – [“valore1”, “valore2”]. Molto simili ai dizionari in Python o gli HashMap in Java.
Questi dati vengono letti da un parser JSON che li converte nel tipo di dati appropriato per il linguaggio di programmazione usato nel recupero dei dati. Ecco perché ad oggi parliamo di formato JSON.
Vediamo insieme un file JSON esempio:
[
{
"name": "Gianvito",
"favorite-game": "Stardew Valley",
"subscriber": false
},
{
"name": "Pierpaolo",
"favorite-game": "Forza Horizon 5",
"subscriber": true
}
]Il JSON Web Token (JWT) è un modo sicuro per trasmettere informazioni tra le parti sotto forma di oggetto JSON. Queste informazioni sono affidabili perché sono firmate digitalmente. L’autorizzazione è lo scenario più comune per l’utilizzo di JWT. Una volta che l’utente ha effettuato l’accesso, ogni richiesta successiva includerà il JWT, consentendo all’utente di accedere ai percorsi, ai servizi e alle risorse consentite con quel token.
Nella sua forma compatta, il JSON Web Token è composto da tre parti separate da punti (.). Pertanto, un JWT si presenta tipicamente come segue.
casa.lavoro.bar
Header: l’header contiene le informazioni sul tipo di token e sull’algoritmo di hash utilizzato per la firma e la codifica. Nel nostro esempio, si può notare che stiamo usando un hash HS256.
Payload: La seconda parte del token è il payload, che contiene le richieste.
- Issuer (iss)
- Subject (sub)
- Audience (aud)
- Expiration time (exp) – in formato unix timestampt
- Issued at (iat) – in formato unix timestampt
Inoltre, tenete presente che il payload può essere facilmente decodificato, quindi non dovete inviare dati critici o sensibili.
- Signature: la firma è l’ultima e più importante parte del JWT. La codice Base64url viene utilizzata per calcolare la signature codificando l’intestazione e il payload e concatenandoli con un separatore di punti.
Come funziona il Json Web Token?
L’utente si iscrive con la propria e-mail/password. Queste informazioni vengono ricevute dal server di autenticazione.
Il server di autenticazione verifica la combinazione email/password. Se la combinazione è corretta, genera il token web JSON. A tale scopo, è possibile utilizzare il sale segreto o la chiave privata. Il JWT viene restituito all’utente. Il JWT viene solitamente memorizzato sul client nei dati di sessione. A tale scopo, si possono utilizzare cookie o database.
Il client può utilizzare il JWT generato e memorizzato per accedere ai dati protetti sul server. Il client lo farà includendo il JWT nell’intestazione di autorizzazione HTTP di ogni prossima richiesta che farà alla risorsa protetta.
Nell’ultima fase, il server delle risorse riceve la richiesta con il JWT. Verifica l’autenticità del token web JSON. Se è corretto, legge la risorsa e la restituisce all’utente.
