トークンベースの承認におけるJWT送信の理解

サーバーがトークンベースの承認のクライアントに「JWTトークン」を送信する方法を発見し、JavaとSpringの認証プロセスを簡素化します。 ---このビデオは、ユーザー「Elvis」（https://stackoverflow.com/7516740/）から尋ねられた質問https://stackoverflow.com/q/64350012/に基づいています。 https://stackoverflow.com/u/12867091/）「Stack Overflow」Webサイト。これらの優れたユーザーとstackexchangeコミュニティの貢献に感謝します。オリジナルのコンテンツや、代替ソリューション、トピックに関する最新の更新/開発などの詳細については、これらのリンクをご覧ください。たとえば、質問の元のタイトルは次のとおりでした。サーバーがトークンベースの認証でJWTをクライアントに送信する方法また、CC by-sa https://meta.stackexchange.com/help/licensingの下でライセンスされているコンテンツ（音楽を除く）は、元の質問投稿は「cc by-sa 4.0」（https://creativecommons.org/licenses/4.0/）の下でライセンスされています。 https://creativecommons.org/licenses/by-sa/4.0/）ライセンス。何かがあなたに見える場合は、vlogize [at] gmail [dot] comでお気軽に私を書いてください。 ---近年のトークンベースの認可におけるJWT送信を理解することで、認証の状況が進化しています。開発者がセキュリティの懸念をより認識するにつれて、JSON Web Tokens（JWT）のような、従来のセッションベースの認証からトークンベースのアプローチへの移行がありました。 JavaとSpringの認証について学んでいる場合は、サーバーがJWTをクライアントにどのように送信するか疑問に思うかもしれません。このトピックに飛び込み、その背後にあるメカニズムを明確にしましょう。問題：従来のセッションベースの認証でトークンベースの認証を理解すると、ユーザーは通常、ユーザー名とパスワードをサーバーに送信し、セッションを作成します。サーバーは、Cookie（set-cookie：sessionIdなど）でセッションIDを送り返します。クライアントは、このセッションIDを使用して、後続のリクエストを認証します。ただし、トークンベースの認証を使用すると、通常、JWTSを扱っています。ユーザーを認証した後、サーバーがJWTをクライアントにどのように送り返すかについて一般的な混乱が生じます。それはヘッダーに送られていますか、もしそうなら、それはどのように見えますか？ソリューション：サーバーがJWTSをクライアントに送信する方法ステップ1：認証トークンベースの認証フローのクライアントの最初のステップは、サーバーに認証することです。これは通常、 /user /Authenticateなどの専用APIエンドポイントを介して行われます。それがどのように進むか：クライアントはユーザー名とパスワードをサーバーに送信します。このリクエストは、HTMLフォームや基本認証などのさまざまな方法を使用して作成できます。ステップ2：トークンの生成と応答サーバーがユーザーの資格情報を検証すると、JWTが生成されます。プロセスの仕組みは次のとおりです。サーバーは、Set-Authorization：JWTなどのカスタムヘッダーでJWTを送信しません。代わりに、通常、認証要求の応答本体にJWTを送信します。クライアントはこのJWTを受け取り、一般的にローカルストレージで保存します。この時点で、重要なセキュリティプロトコルは、クライアントのストレージにユーザー名とパスワードを保存しないことを推奨しています。ステップ3：後続の要求にJWTを使用して、クライアントがJWTを持っているため、それを使用して、リソースを保護したリクエストを行うことができます。次の方法は次のとおりです。認証を必要とするすべてのリクエストについて、クライアントは次のようなヘッダーのサーバーにトークンを送り返します。 JWTトークンベースの認証を使用することの利点は、従来の方法よりもいくつかの利点を提供します。セキュリティ：機密資格情報を回避することにより、トークンのみが転送され、暴露リスクが削減されます。ステートレス性：JWTは自己完結型です。つまり、サーバーはセッション情報を保持する必要がなく、スケーリングが容易になります。相互運用性：JWTは、さまざまなシステムとドメインで使用でき、柔軟性が高くなります。結論トークンベースの承認でサーバーがJWTをクライアントに送信する方法を理解することは、最新のWebアプリケーション開発にとって重要です。応答本体のJWTを受信し、その後のリクエストにそれを利用することにより、認証プロセスのセキュリティと効率の両方を改善できます。 JavaとSpringで旅を続けると、これらの原則を念頭に置いて、堅牢で安全なアプリケーションを構築してください。あなたの考えを自由に共有したり、以下のコメントでトークンベースの認証についてさらに質問してください。ハッピーコーディング！