JSON Web Token - Versionsgeschichte

2A02:3032:4:7D0F:1340:4563:CD7C:7DA3: Fix typo

2025-04-25T07:04:42Z

Fix typo

← Nächstältere Version		Version vom 25. April 2025, 09:04 Uhr
Zeile 1:		Zeile 1:
	Ein '''JSON Web Token''' ('''JWT''', vorgeschlagene {{IPA2\|dʒɒt}}) basiert auf [[JavaScript Object Notation\|JSON]] und in <nowiki>RFC 7519</nowiki><ref>{{RFC-Internet \|RFC=7519 \|Titel=JSON Web Token (JWT) \|Datum=2015-05}}</ref> beschrieben. Das JWT ermöglicht den Austausch von verifizierbaren [[Claim (Informatik)\|Claims]]. Es wird typischerweise verwendet, um in einem System mit einem [[Drittanbieter]] die Identität eines Benutzers zwischen einem [[Authentifizierung#Authentifizierung als IT-Dienst\|Identity-Provider]] und einem Service-Provider auszutauschen. JWT eignen sich vor allem zur Implementierung von „Stateless Sessions“, da sämtliche authentifizierungsrelevanten Informationen im Token übertragen werden können und die [[Sitzung (Informatik)\|Sitzung]] nicht zusätzlich auf einem Server gespeichert werden muss.		Ein '''JSON Web Token''' ('''JWT''', vorgeschlagene {{IPA2\|dʒɒt}}) basiert auf [[JavaScript Object Notation\|JSON]] und ist in <nowiki>RFC 7519</nowiki><ref>{{RFC-Internet \|RFC=7519 \|Titel=JSON Web Token (JWT) \|Datum=2015-05}}</ref> beschrieben. Das JWT ermöglicht den Austausch von verifizierbaren [[Claim (Informatik)\|Claims]]. Es wird typischerweise verwendet, um in einem System mit einem [[Drittanbieter]] die Identität eines Benutzers zwischen einem [[Authentifizierung#Authentifizierung als IT-Dienst\|Identity-Provider]] und einem Service-Provider auszutauschen. JWT eignen sich vor allem zur Implementierung von „Stateless Sessions“, da sämtliche authentifizierungsrelevanten Informationen im Token übertragen werden können und die [[Sitzung (Informatik)\|Sitzung]] nicht zusätzlich auf einem Server gespeichert werden muss.

	== Aufbau ==		== Aufbau ==

HarryPootha: Die Referenz auf Access Token entfernt. Ein Access Token kann ein JWT sein, nicht andersherum. In dem genannten RFC kommt "Access Token" nicht im Text vor

2025-03-17T11:18:46Z

Die Referenz auf Access Token entfernt. Ein Access Token kann ein JWT sein, nicht andersherum. In dem genannten RFC kommt "Access Token" nicht im Text vor

← Nächstältere Version		Version vom 17. März 2025, 13:18 Uhr
Zeile 1:		Zeile 1:
	Ein '''JSON Web Token''' ('''JWT''', vorgeschlagene {{IPA2\|dʒɒt}}) ~~ist ein~~ auf [[JavaScript Object Notation\|JSON]] ~~basiertes~~ und ~~nach~~ <nowiki>RFC 7519</nowiki><ref>{{RFC-Internet \|RFC=7519 \|Titel=JSON Web Token (JWT) \|Datum=2015-05}}</ref> ~~genormtes [[Access-Token]]~~. Das JWT ermöglicht den Austausch von verifizierbaren [[Claim (Informatik)\|Claims]]. Es wird typischerweise verwendet, um in einem System mit einem [[Drittanbieter]] die Identität eines Benutzers zwischen einem [[Authentifizierung#Authentifizierung als IT-Dienst\|Identity-Provider]] und einem Service-Provider auszutauschen. JWT eignen sich vor allem zur Implementierung von „Stateless Sessions“, da sämtliche authentifizierungsrelevanten Informationen im Token übertragen werden können und die [[Sitzung (Informatik)\|Sitzung]] nicht zusätzlich auf einem Server gespeichert werden muss.		Ein '''JSON Web Token''' ('''JWT''', vorgeschlagene {{IPA2\|dʒɒt}}) basiert auf [[JavaScript Object Notation\|JSON]] und in <nowiki>RFC 7519</nowiki><ref>{{RFC-Internet \|RFC=7519 \|Titel=JSON Web Token (JWT) \|Datum=2015-05}}</ref> beschrieben. Das JWT ermöglicht den Austausch von verifizierbaren [[Claim (Informatik)\|Claims]]. Es wird typischerweise verwendet, um in einem System mit einem [[Drittanbieter]] die Identität eines Benutzers zwischen einem [[Authentifizierung#Authentifizierung als IT-Dienst\|Identity-Provider]] und einem Service-Provider auszutauschen. JWT eignen sich vor allem zur Implementierung von „Stateless Sessions“, da sämtliche authentifizierungsrelevanten Informationen im Token übertragen werden können und die [[Sitzung (Informatik)\|Sitzung]] nicht zusätzlich auf einem Server gespeichert werden muss.

	== Aufbau ==		== Aufbau ==

Corpophiliac am 11. Januar 2025 um 09:26 Uhr

2025-01-11T09:26:43Z

← Nächstältere Version		Version vom 11. Januar 2025, 11:26 Uhr
Zeile 170:		Zeile 170:
	\|url=https://jwt.io/		\|url=https://jwt.io/
	\|titel=JWT		\|titel=JWT
	\|hrsg=Auth0 \|sprache=en		\|hrsg=Auth0
			\|sprache=en
	\|abruf=2017-05-14}}		\|abruf=2017-05-14}}
	</ref>		</ref>

87.191.30.68: Falsche Verwendung vom Begriff "Hash" korrigiert.

2024-11-19T11:06:57Z

Falsche Verwendung vom Begriff "Hash" korrigiert.

← Nächstältere Version		Version vom 19. November 2024, 13:06 Uhr
Zeile 73:		Zeile 73:
	Der Aufbau der Signatur wird durch '''JSON Web Signature''' ('''JWS'''), einem nach <nowiki>RFC 7515</nowiki><ref>{{RFC-Internet \|RFC=7515 \|Titel=JSON Web Signature (JWS) \|Datum=2015-05}}</ref> genormten Standard, definiert.		Der Aufbau der Signatur wird durch '''JSON Web Signature''' ('''JWS'''), einem nach <nowiki>RFC 7515</nowiki><ref>{{RFC-Internet \|RFC=7515 \|Titel=JSON Web Signature (JWS) \|Datum=2015-05}}</ref> genormten Standard, definiert.

	Die Signatur wird dadurch erzeugt, dass der Header und der Payload im [[Base64]] kodierten und durch einen Punkt getrennten Format mit der spezifizierten Hashmethode gehasht wird:		Die Signatur wird dadurch erzeugt, dass der Header und der Payload im [[Base64]] kodierten und durch einen Punkt getrennten Format mit der spezifizierten Hashmethode (z. B. SHA-256) gehasht und verschlüsselt (z. B. HMAC) wird:
	<syntaxhighlight lang="javascript">		<syntaxhighlight lang="javascript">
	var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);		var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);
	var ~~hash~~ = HMACSHA256(encodedString, secret);		var signature = HMACSHA256(encodedString, secret);
	</syntaxhighlight>		</syntaxhighlight>

Zeile 83:		Zeile 83:

	<syntaxhighlight lang="javascript">		<syntaxhighlight lang="javascript">
	var jwt = base64UrlEncode(header) + "." + base64UrlEncode(payload) + "." + base64UrlEncode(~~hash~~)		var jwt = base64UrlEncode(header) + "." + base64UrlEncode(payload) + "." + base64UrlEncode(signature)
	</syntaxhighlight>		</syntaxhighlight>

Horst Gräbner: Für das Genus nichtdeutscher Begriffe gibt es keine eindeutige Regelung, daher keine Verbesserung

2024-07-24T07:46:22Z

Für das Genus nichtdeutscher Begriffe gibt es keine eindeutige Regelung, daher keine Verbesserung

← Nächstältere Version		Version vom 24. Juli 2024, 09:46 Uhr
Zeile 110:		Zeile 110:
	\| [[Cross-Origin Resource Sharing\|CORS]]		\| [[Cross-Origin Resource Sharing\|CORS]]
	\| Funktioniert mit CORS, jedoch ist eine Implementierung in [[JavaScript]] nötig.		\| Funktioniert mit CORS, jedoch ist eine Implementierung in [[JavaScript]] nötig.
	\| ~~Der~~ Cookie wird vom Browser nur für die aktuelle Domäne übermittelt. CORS ist nicht möglich.		\| Das Cookie wird vom Browser nur für die aktuelle Domäne übermittelt. CORS ist nicht möglich.
	\|-		\|-
	\| Speicherung		\| Speicherung

24.134.42.205: /* Übertragung mit HTTP */ Tipo

2024-07-24T07:45:44Z

Übertragung mit HTTP: Tipo

← Nächstältere Version		Version vom 24. Juli 2024, 09:45 Uhr
Zeile 110:		Zeile 110:
	\| [[Cross-Origin Resource Sharing\|CORS]]		\| [[Cross-Origin Resource Sharing\|CORS]]
	\| Funktioniert mit CORS, jedoch ist eine Implementierung in [[JavaScript]] nötig.		\| Funktioniert mit CORS, jedoch ist eine Implementierung in [[JavaScript]] nötig.
	\| ~~Das~~ Cookie wird vom Browser nur für die aktuelle Domäne übermittelt. CORS ist nicht möglich.		\| Der Cookie wird vom Browser nur für die aktuelle Domäne übermittelt. CORS ist nicht möglich.
	\|-		\|-
	\| Speicherung		\| Speicherung

2003:D5:8F05:3196:ECB0:7DE8:FD02:D37E: RFC7515 ist nicht JWE sondern JWS

2023-12-27T16:09:10Z

RFC7515 ist nicht JWE sondern JWS

← Nächstältere Version		Version vom 27. Dezember 2023, 18:09 Uhr
Zeile 71:		Zeile 71:

	=== Signatur ===		=== Signatur ===
	Der Aufbau der Signatur wird durch '''JSON Web Signature''' ('''JWS'''), einem nach <nowiki>RFC 7515</nowiki><ref>{{RFC-Internet \|RFC=7515 \|Titel=JSON Web ~~Encryption~~ (~~JWE~~) \|Datum=2015-05}}</ref> genormten Standard, definiert.		Der Aufbau der Signatur wird durch '''JSON Web Signature''' ('''JWS'''), einem nach <nowiki>RFC 7515</nowiki><ref>{{RFC-Internet \|RFC=7515 \|Titel=JSON Web Signature (JWS) \|Datum=2015-05}}</ref> genormten Standard, definiert.

	Die Signatur wird dadurch erzeugt, dass der Header und der Payload im [[Base64]] kodierten und durch einen Punkt getrennten Format mit der spezifizierten Hashmethode gehasht wird:		Die Signatur wird dadurch erzeugt, dass der Header und der Payload im [[Base64]] kodierten und durch einen Punkt getrennten Format mit der spezifizierten Hashmethode gehasht wird:

TabellenBot: 1x externen Link aus Vorlage:Internetquelle entfernt (hrsg=[http://auth0.com/ Auth0] ).

2023-12-07T15:51:35Z

1x externen Link aus Vorlage:Internetquelle entfernt (hrsg=[http://auth0.com/ Auth0] ).

← Nächstältere Version		Version vom 7. Dezember 2023, 17:51 Uhr
Zeile 170:		Zeile 170:
	\|url=https://jwt.io/		\|url=https://jwt.io/
	\|titel=JWT		\|titel=JWT
	\|hrsg=~~[http://auth0.com/~~ Auth0]		\|hrsg=Auth0 \|sprache=en
	\|sprache=en
	\|abruf=2017-05-14}}		\|abruf=2017-05-14}}
	</ref>		</ref>

Siegbert v2: Linkfunktion des example.com Beispiels deaktiviert (sinnlos) / Ellipsen-Zeichen (… statt ...)

2023-11-09T05:51:20Z

Linkfunktion des example.com Beispiels deaktiviert (sinnlos) / Ellipsen-Zeichen (… statt ...)

← Nächstältere Version		Version vom 9. November 2023, 07:51 Uhr
Zeile 91:		Zeile 91:
	Das JWT kann in der URL oder im [[HTTP-Header]] übertragen werden.		Das JWT kann in der URL oder im [[HTTP-Header]] übertragen werden.

	<code>http://example.com/path?jwt_token=~~eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...~~</code>		<code><nowiki>http://example.com/path?jwt_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9…</nowiki></code>

	Für die Übertragung im HTTP-Header gibt es zwei Möglichkeiten: Das Authorization-Feld oder das Cookie-Feld.		Für die Übertragung im HTTP-Header gibt es zwei Möglichkeiten: Das Authorization-Feld oder das Cookie-Feld.
	* im Authorization-Feld als Bearer-Token: <code style="white-space:nowrap">Authorization: Bearer ~~eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...~~</code>		* im Authorization-Feld als Bearer-Token: <code style="white-space:nowrap">Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9…</code>
	* im Cookie-Feld: <code style="white-space:nowrap">Cookie: token=~~eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...~~</code>		* im Cookie-Feld: <code style="white-space:nowrap">Cookie: token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9…</code>
	Die beiden Methoden haben unterschiedliche Vor- und Nachteile:		Die beiden Methoden haben unterschiedliche Vor- und Nachteile:

Siegbert v2: div. Artikel verlinkt / Komma aus code-Block entfernt / Base64 auf erstes Vorkommen hochgezogen / Kleinkram

2023-11-09T05:44:32Z

div. Artikel verlinkt / Komma aus code-Block entfernt / Base64 auf erstes Vorkommen hochgezogen / Kleinkram

← Nächstältere Version		Version vom 9. November 2023, 07:44 Uhr
Zeile 1:		Zeile 1:
	Ein '''JSON Web Token''' ('''JWT''', vorgeschlagene {{IPA2\|dʒɒt}}) ist ein auf [[JavaScript Object Notation\|JSON]] basiertes und nach <nowiki>RFC 7519</nowiki><ref>{{RFC-Internet \|RFC=7519 \|Titel=JSON Web Token (JWT) \|Datum=2015-05}}</ref> genormtes [[Access-Token]]. Das JWT ermöglicht den Austausch von verifizierbaren [[Claim (Informatik)\|Claims]]. Es wird typischerweise verwendet, um in einem System mit einem Drittanbieter die Identität eines Benutzers zwischen einem [[Authentifizierung#Authentifizierung als IT-Dienst\|Identity-Provider]] und einem Service-Provider auszutauschen. JWT eignen sich vor allem zur Implementierung von ~~"Stateless~~ ~~Sessions"~~, da sämtliche authentifizierungsrelevanten Informationen im Token übertragen werden können und die Sitzung nicht zusätzlich auf einem Server gespeichert werden muss.		Ein '''JSON Web Token''' ('''JWT''', vorgeschlagene {{IPA2\|dʒɒt}}) ist ein auf [[JavaScript Object Notation\|JSON]] basiertes und nach <nowiki>RFC 7519</nowiki><ref>{{RFC-Internet \|RFC=7519 \|Titel=JSON Web Token (JWT) \|Datum=2015-05}}</ref> genormtes [[Access-Token]]. Das JWT ermöglicht den Austausch von verifizierbaren [[Claim (Informatik)\|Claims]]. Es wird typischerweise verwendet, um in einem System mit einem [[Drittanbieter]] die Identität eines Benutzers zwischen einem [[Authentifizierung#Authentifizierung als IT-Dienst\|Identity-Provider]] und einem Service-Provider auszutauschen. JWT eignen sich vor allem zur Implementierung von „Stateless Sessions“, da sämtliche authentifizierungsrelevanten Informationen im Token übertragen werden können und die [[Sitzung (Informatik)\|Sitzung]] nicht zusätzlich auf einem Server gespeichert werden muss.

	== Aufbau ==		== Aufbau ==
	Ein JWT besteht aus drei Teilen: dem Header, Payload und der Signatur.		Ein JWT besteht aus drei Teilen: dem [[Header]], [[Nutzdaten\|Payload]] und der [[Digitale Signatur\|Signatur]].

	=== Header ===		=== Header ===
Zeile 11:		Zeile 11:
	! Feld !! Name !! Bedeutung		! Feld !! Name !! Bedeutung
	\|-		\|-
	\| typ \|\| Type \|\| Beschreibt den IANA Medientyp des Tokens. Dieser Wert ist immer <code>JWT,</code> um den Medientyp <code>application/jwt</code> zu beschreiben.		\| typ \|\| Type \|\| Beschreibt den [[Internet Assigned Numbers Authority\|IANA]]-[[Internet Media Type\|Medientyp]] des Tokens. Dieser Wert ist immer <code>JWT</code>, um den Medientyp <code>application/jwt</code> zu beschreiben.
	\|-		\|-
	\| cty \|\| Content Type \|\| Dieses Feld wird benötigt, wenn das JWT ein anderes JWT als Payload enthält. In diesem Fall wird es auf <code>JWT</code> gesetzt. Andernfalls sollte dieses Feld weggelassen werden.		\| cty \|\| Content Type \|\| Dieses Feld wird benötigt, wenn das JWT ein anderes JWT als Payload enthält. In diesem Fall wird es auf <code>JWT</code> gesetzt. Andernfalls sollte dieses Feld weggelassen werden.
Zeile 73:		Zeile 73:
	Der Aufbau der Signatur wird durch '''JSON Web Signature''' ('''JWS'''), einem nach <nowiki>RFC 7515</nowiki><ref>{{RFC-Internet \|RFC=7515 \|Titel=JSON Web Encryption (JWE) \|Datum=2015-05}}</ref> genormten Standard, definiert.		Der Aufbau der Signatur wird durch '''JSON Web Signature''' ('''JWS'''), einem nach <nowiki>RFC 7515</nowiki><ref>{{RFC-Internet \|RFC=7515 \|Titel=JSON Web Encryption (JWE) \|Datum=2015-05}}</ref> genormten Standard, definiert.

	Die Signatur wird dadurch erzeugt, dass der Header und der Payload im Base64 kodierten und durch einen Punkt getrennten Format mit der spezifizierten Hashmethode gehasht wird:		Die Signatur wird dadurch erzeugt, dass der Header und der Payload im [[Base64]] kodierten und durch einen Punkt getrennten Format mit der spezifizierten Hashmethode gehasht wird:
	<syntaxhighlight lang="javascript">		<syntaxhighlight lang="javascript">
	var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);		var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);
Zeile 80:		Zeile 80:

	=== Codierung ===		=== Codierung ===
	Header, Payload und Signatur werden jeweils mit [[~~Base64~~\|~~Base64-Url~~]] kodiert und durch jeweils einen Punkt voneinander getrennt. Ein JWT Token kann wie folgt aussehen:		Header, Payload und Signatur werden jeweils mit Base64-[[Uniform Resource Locator\|URL]] kodiert und durch jeweils einen Punkt voneinander getrennt. Ein JWT Token kann wie folgt aussehen:

	<syntaxhighlight lang="javascript">		<syntaxhighlight lang="javascript">
Zeile 89:		Zeile 89:

	== Übertragung mit HTTP ==		== Übertragung mit HTTP ==
	Das JWT kann in der URL oder im HTTP-Header übertragen werden.		Das JWT kann in der URL oder im [[HTTP-Header]] übertragen werden.

	<code>http://example.com/path?jwt_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...</code>		<code>http://example.com/path?jwt_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...</code>
Zeile 133:		Zeile 133:

	== Security Event Token ==		== Security Event Token ==
	Ein '''Security Event Token''' ('''SET''') erweitert den JWT Standard um den <code>events</code> Claim, welcher eine Liste von sicherheitsrelevanten Ereignissen aufzeichnet.<ref name="selfissued" /> Diese Tokens haben einen Zeitstempel und unbegrenzte Gültigkeit. Ein SET-Payload kann wie folgt aussehen:		Ein '''Security Event Token''' ('''SET''') erweitert den JWT Standard um den <code>events</code> Claim, welcher eine Liste von sicherheitsrelevanten Ereignissen aufzeichnet.<ref name="selfissued" /> Diese Tokens haben einen digitalen [[Zeitstempel]] und unbegrenzte Gültigkeit. Ein SET-Payload kann wie folgt aussehen:

	<syntaxhighlight lang="json">		<syntaxhighlight lang="json">