Авторизация с JSON Web Token позволяет единожды пройти аутентификацию и авторизацию с логином и паролем, получить JWT токен доступа и в последующих запросах передавать только токен.
Токен содержит всю необходимую серверу информацию о пользователе, что избавляет от необходимости повторной аутентификации.
Освежить знания про формат JWT можно тут.
Токен доступа подтверждает, что пользователь имеет права на доступ к ресурсу. Срок жизни токена доступа обычно 5-15 минут.
Токен обновления используют для повышения уровня безопасности и удобства пользователя. Токен обновления обычно живет до нескольких месяцев и позволяет заново получить токен доступа без повторного ввода данных.
По шагам процесс выглядит так:
Шаг 1. Клиент вводит логин/пароль и получает токен доступа и токен обновления
Шаг 2. Клиент использует токен доступа для обращения к защищённым ресурсам
Шаг 3. Когда токен доступа устарел, клиент отправляет токен обновления и получает новую пару
Ранее мы уже научились посылать запрос с указанием заголовка Authorization с типом Basic Auth для передачи пары логин/пароль.
В случае отправки JWT токена необходимо выбрать заголовок Authorization с типом Bearer Tokenи вставить полученный от сервера токен в поле Token.
Фактически заголовок примет вид:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiJ1c2VyIiwicm9sZSI6IlRFU1QiLCJleHAiOjE3MTYyMzkwMjJ9.
wnZZUqYlOX_WAKjrcaMUdM_JyalzHsRwNfRu74wKPR8
JWT токен считается валидным до тех пор, пока не истек срок его жизни.
Для проверки срока жизни токен необходимо декодировать, например на jwt.io, и сравнить значение в поле exp в payload с текущим моментом времени. Если значение меньше, значит токен протух — срок его жизни истёк.
Формат времени в поле exp представляет собой Unix Time, или количество секунд, прошедших с 1 января 1970 года.
Для приведения к более лёгкой для восприятия системе исчисления времени можно воспользоваться онлайн конвертерами.
Уровень повышен!
