json web token

يستخدم Json Web Token أو اختصارا JWT في عملية الإستيثاق أو Authentication.

فكرة JWT هي أنه بعد تسجيل المستخدم دخوله لتطبيقك، سواء كان تطبيق ويب أو غيره، يتم على مستوى الخادم توليد رمز طويل (Token) بناء على مفتاح سري (Secret Key) لا يجب على أحد الإطلاع عليه باستثناء الخادم.

المهم، بعد توليد ذلك الرمز يتم إرساله للواجهة الأمامية للتطبيق ويتم تخزينه في جهاز المستخدم (المتصفح مثلا في Local Storage) وبعدها يتم إرساله في أي طلب Http نكون في حاجة فيه لعمل استيثاق. الخادم يتأكد من أن JWT صحيح عن طريق التحقق منه باستخدام Secret Key الذي قلنا فيما سبق أنه قيمة نصية مخزنة في الخادم. إذا تم التحقق بنجاح هذا يعني بأن المستخدم Authenticated وإلا فالعكس.

يمكن تخزين بعض المعلومات الغير حساسة في JWT مثل id الخاص بالمستخدم أو اسمه، ولا ينصح أبدا بتخزين معلومات مثل كلمة المرور أو معلومات البطاقة البنكية إلخ... لأن فك تشفير JWT سهل للغاية وفي متناول أي شخص يحصل عليه.

أتمنى أن يكون ردي واضحا.