Як ви автентифікуєтеся за допомогою JWT?
Щоб автентифікувати користувача, клієнтська програма повинна надіслати веб-токен JSON (JWT) у заголовку авторизації HTTP-запиту до вашого серверного API. API Gateway перевіряє маркер від імені вашого API, тому вам не потрібно додавати код у свій API для обробки автентифікації.
Після успішного входу сервер створює JWT, що містить інформацію про користувача та підпис для перевірки його автентичності. Сервер надсилає JWT клієнту. Тоді кожен наступний запит від клієнта включає JWT. Сервер перевіряє підпис токена, щоб переконатися, що його не було підроблено.
Основною метою підпису є встановлення автентичності JWT, підтвердження того, що його дані не були підроблені. Іншими словами, інформацію в токені можна перевірити та довіряти саме тому, що токен має цифровий підпис.
Веб-токен JSON (JWT) є компактний формат представлення претензій, призначений для середовищ з обмеженим простором, таких як заголовки авторизації HTTP та параметри запиту URI. Претензія представлена як пара ім’я-значення, яка містить назву претензії та вартість претензії.
Для перевірки претензій JWT
- Розшифруйте токен і порівняйте вимогу exp з поточним часом.
- Якщо ваш маркер доступу містить aws. когніто. вхід. користувача. претензію адміністратора, надішліть запит до API, наприклад GetUser. …
- Укажіть свій маркер доступу в запиті до кінцевої точки UserInfo. Ваш запит повертає помилку, якщо термін дії маркера минув.
Ось деякі відмінності між OAuth і JWT: Основна функція: OAuth використовується для авторизації, тоді як JWT використовується для автентифікації та обміну інформацією. Безпека: OAuth — це безпечний спосіб керування потоками авторизації, тоді як JWT — це легкий і самодостатній маркер.