JWT(JSON Web Token)のヘッダーとペイロードをデコードし、有効期限を確認します。
JSON Web Token(JWT)は、JSONオブジェクトとして当事者間で情報を安全に送信するためのオープンスタンダード(RFC 7519)です。JWTはシークレット(HMAC)または公開鍵/秘密鍵ペア(RSA/ECDSA)を使用して署名できます。Webアプリケーションでの認証や情報交換に広く使用されています。
JWTはドットで区切られた3つの部分で構成されます:ヘッダー(アルゴリズムとトークンタイプ)、ペイロード(クレーム/データ)、署名(検証用)。各部分はBase64Urlでエンコードされています。署名によりトークンが改ざんされていないことが保証されますが、ヘッダーとペイロードは誰でもデコードできます。
標準的なJWT(JWS)は署名されていますが暗号化されていません - 誰でもペイロードを読むことができます。暗号化されたトークンにはJWE(JSON Web Encryption)を使用してください。通常のJWTに機密データを保存しないでください。
JWTは設計上ステートレスであり、直接無効化することはできません。一般的な戦略には、短い有効期限の設定、トークンのブラックリスト、または署名キーの変更(すべてのトークンが無効化される)があります。