JWT 認証の仕組み

JWT（JSON Web Token）認証では、サーバーが署名付きトークンを発行し、クライアントが以降のリクエストで提示します。サーバーは署名を検証し、セッション状態を保持せずにスケーラブルな認証を実現します。

JWT の 3 部構成

JWT は Header（アルゴリズムとタイプ）、Payload（ユーザー ID、有効期限などのクレーム）、Signature（header+payload+秘密鍵のハッシュ）の 3 部で、Base64URL エンコードされドットで連結されます。

認証フロー

1. ユーザーがログイン → 2. サーバーが JWT を返却 → 3. クライアントが Authorization ヘッダーで送信 → 4. サーバーが署名を検証してクレームを読み取ります。

開発時は WaiHub の JWT デコーダーで内容を確認できます。本番トークンは信頼できないサイトに貼り付けないでください。