認証のJWTって何？ - すこぶる.net

JWTの仕組み

JWT（JSON Web Token）は、ユーザー認証情報を含む自己完結型のトークンを扱います。読み方は ”ジョット” です。
ヘッダー、ペイロード、署名の3部分で構成され、秘密鍵で署名し、トークンはクライアント側で保存され、リクエスト時に使用し、サーバ側で検証します。

JWTの主なメリットとしては、サーバ側で状態（セッション）を管理する必要がないためスケーラビリティに優れている点だと思います。

JWT認証を試してみる

今回は Golang で実装してみますが、echoというフレームワークを使用します。

先にコードを記します。

package main

import (
	"net/http"
	"os"
	"time"

"github.com/golang-jwt/jwt/v4"
	echojwt "github.com/labstack/echo-jwt"
	"github.com/labstack/echo/v4"
)

var signingKey = []byte(func() string {
	if v := os.Getenv("JWT_SECRET"); v != "" {
		return v
	} else {
		return "c20qHTdPk9tQlJzKHJz9+NC/4p3fum9yrfEbOWuUZys=" // JWT_SECRET は openssl rand -base64 32 で生成
	}
}())

func main() {
	e := echo.New()

// Public routes
	e.GET("/home/*", home)
	e.POST("/login", login)

// JWT Middleware for restricted routes
	r := e.Group("")
	r.Use(echojwt.WithConfig(echojwt.Config{
		SigningKey: signingKey,
	}))
	r.GET("/restricted", restricted)

e.Logger.Fatal(e.Start(":8080"))
}

func home(c echo.Context) error {
	return c.String(http.StatusOK, "Welcome to the home page!")
}

func restricted(c echo.Context) error {
	return c.String(http.StatusOK, "Welcome to the restricted area!")
}

func login(c echo.Context) error {
	// ※実際のアプリケーションでは、ここでユーザーを認証します※
	username := c.FormValue("username")
	password := c.FormValue("password")

if username == "user" && password == "password" {
		// トークン生成開始
		token := jwt.New(jwt.SigningMethodHS256)

// クレームを設定
		claims := token.Claims.(jwt.MapClaims)
		claims["name"] = "Admin"
		claims["admin"] = true
		claims["exp"] = time.Now().Add(time.Hour * 72).Unix()

// エンコードされたトークンを生成し、レスポンスとして送信します。
		t, err := token.SignedString(signingKey)
		if err != nil {
			return err
		}

// クッキーにトークンを設定
		cookie := new(http.Cookie)
		cookie.Name = "token"
		cookie.Value = t
		cookie.Expires = time.Now().Add(72 * time.Hour)
		cookie.HttpOnly = true
		cookie.Secure = true
		cookie.SameSite = http.SameSiteStrictMode
		c.SetCookie(cookie)

return c.JSON(http.StatusOK, echo.Map{
			"message": "トークンは " + t,
		})
	}

return echo.ErrUnauthorized
}

package main

import (

"net/http"

"os"

"time"

"github.com/golang-jwt/jwt/v4"

echojwt "github.com/labstack/echo-jwt"

"github.com/labstack/echo/v4"

)

var signingKey = []byte(func() string {

if v := os.Getenv("JWT_SECRET"); v != "" {

return v

} else {

return "c20qHTdPk9tQlJzKHJz9+NC/4p3fum9yrfEbOWuUZys=" // JWT_SECRET は openssl rand -base64 32 で生成

}

}())

func main() {

e := echo.New()

// Public routes

e.GET("/home/*", home)

e.POST("/login", login)

// JWT Middleware for restricted routes

r := e.Group("")

r.Use(echojwt.WithConfig(echojwt.Config{

SigningKey: signingKey,

}))

r.GET("/restricted", restricted)

e.Logger.Fatal(e.Start(":8080"))

}

func home(c echo.Context) error {

return c.String(http.StatusOK, "Welcome to the home page!")

}

func restricted(c echo.Context) error {

return c.String(http.StatusOK, "Welcome to the restricted area!")

}

func login(c echo.Context) error {

// ※実際のアプリケーションでは、ここでユーザーを認証します※

username := c.FormValue("username")

password := c.FormValue("password")

if username == "user" && password == "password" {

// トークン生成開始

token := jwt.New(jwt.SigningMethodHS256)

// クレームを設定

claims := token.Claims.(jwt.MapClaims)

claims["name"] = "Admin"

claims["admin"] = true

claims["exp"] = time.Now().Add(time.Hour * 72).Unix()

// エンコードされたトークンを生成し、レスポンスとして送信します。

t, err := token.SignedString(signingKey)

if err != nil {

return err

}

// クッキーにトークンを設定

cookie := new(http.Cookie)

cookie.Name = "token"

cookie.Value = t

cookie.Expires = time.Now().Add(72 * time.Hour)

cookie.HttpOnly = true

cookie.Secure = true

cookie.SameSite = http.SameSiteStrictMode

c.SetCookie(cookie)

return c.JSON(http.StatusOK, echo.Map{

"message": "トークンは " + t,

})

}

return echo.ErrUnauthorized

}

それでは、プログラムを実行してJWTから返ってくるトークンを確認します。

% go run main.go

____ __

/ __/___/ / ___

/ _// __/ _ \/ _ \

/___/\__/_//_/\___/ v4.13.3

High performance, minimalist Go web framework

https://echo.labstack.com

____________________________________O/_______

⇨ http server started on [::]:8080

#### 別ターミナルで

% curl -X POST http://localhost:8080/login -d "username=user&password=password"

{"message":"token is eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhZG1pbiI6dHJ1ZSwiZXhwIjoxNzM2NjkwNTY1LCJuYW1lIjoiQWRtaW4ifQ.riW-46p5W7bnjiqBcHlOocD2LEfRl588ie78ZtEmuPc"}

JWTのトークンの中身はbase64でデコードすれば確認可能なので見てみます。

% echo eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 | base64 -d

{"alg":"HS256","typ":"JWT"}%

% echo eyJhZG1pbiI6dHJ1ZSwiZXhwIjoxNzM2Njg1MTY1LCJuYW1lIjoiQWRtaW4ifQ | base64 -d

{"admin":true,"exp":1736685165,"name":"Admin"%

また、 https://jwt.io/ でトークンの検証を行うこともできます。”Signature Verified” と表示されていれば検証がうまくいっています。

テキトーな例ですが、結局中身を簡単に確認できるわけなので以下の注意が必要かと思います。

JWTには個人情報などは含めない
トークンには期限を設定する

そして、ヘッダとペイロードが変更されても、署名が一致しないため成りすましを防止できます。

ちなみにJWTには登録済みのクレームがあるのでそちらもご確認ください。（iss, sub, exp…）
https://tex2e.github.io/rfc-translater/html/rfc7519.html#4-1–Registered-Claim-Names
上記では入れてませんが sub にユーザ固有の識別子をいれるなどすると良いと思います。

まとめ

JWTは多くのライブラリやフレームワークでサポートされているため、実装が容易であり、複数のサービス間で認証情報を共有するのに適しており、マイクロサービスアーキテクチャにおいても有効な手段となります。