JSON Web Token

Один із механізмів авторизації це JWT (JSON Web Token). Токени надають собою засіб авторизації для кожного запиту від фронтенду до бекенду. Токени створюються на бекенді ґрунтуючись на секретному ключі, який зберігається на сервері, та якихось унікальних для користувача даних, наприклад пошта тощо. Токен у результаті зберігається на фронтенді і використовується за необхідності авторизації будь-якого запиту.

Кожен токен це унікальний зашифрований рядок, який містить три блоки: заголовок (header), набір полів (payload) та сигнатуру. При спробі зловмисником підмінити дані в header або payload, токен стане не валідним, оскільки сигнатура не відповідатиме початковим значенням. А можливість згенерувати нову сигнатуру у зловмисника відсутня, оскільки секретний ключ для зашифрування лежить на сервері.