Lektion 29 — JWT, JSON Web Tokens

En JWT är en lapp med tre delar separerade av punkter. Första delen säger hur den är signerad. Andra delen är data — vem du är, vad du får göra. Tredje delen är signaturen. Allt utom signaturen kan läsas av vem som helst.

01Anatomi: tre delar, två punkter

En typisk JWT ser ut så här:

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZGEifQ.xK9k7Pq...3jLm

Tre delar, alla base64-kodade:

Header — vilken algoritm token är signerad med (t.ex. HS256)
Payload — själva data: vem användaren är, när tokenen går ut
Signatur — bevis att tokenen inte är manipulerad

02JWT är inte krypterad — den är signerad

Det här är det viktigaste att förstå: vem som helst kan läsa innehållet i en JWT. Det är inte gömt. Det är bara base64-kodat, precis som vi såg i lektion 27 om Basic Auth.

Konsekvens: Lägg aldrig hemligheter i JWT-payloaden. Inga lösenord, ingen personnummer, inga API-nycklar. Allt är synligt för den som har tokenen.

Vad signaturen gör är annat: den bevisar att tokenen kommer från en server som har en specifik hemlig nyckel — så ingen kan ändra "min användare" till "någon annans användare" utan att signaturen blir ogiltig.

03Hur den används i en request

Tokenen följer med i Authorization-headern, med prefixet Bearer:

Authorization: Bearer eyJhbGc...3jLm

Servern tar emot, verifierar signaturen, och om allt stämmer behandlar requesten som inloggad. Inget databas-uppslag behövs — servern litar på sin egen signatur.

04Prova själv — dekoda en JWT

Skriv vad du vill i payloaden. Du får tillbaka en riktig JWT. Klicka dekoda för att se hur lätt innehållet plockas isär.

Payload (vad som finns i tokenen)

resulterande JWT

väntar...

dekodad header + payload (signaturen är binär)

tryck dekoda

Hemlighet: nej, allt är synligt Signatur bevisar: tokenen är inte manipulerad

05Vad det betyder för dig

JWT är ett bra verktyg när det används rätt — och en katastrof när det används fel. Som användare kan du inte styra det, men förstår du strukturen kan du också förstå när du läser i nyheter att en sajt blev hackad genom "JWT-fallgropen" — som vi tar i djupare-spåret.

Nästa lektion (30) avslutar fundamentet med TLS — det krypterade lagret under HTTP som hindrar allt vi pratat om från att läsas av folk i mitten.

JWT specificeras i RFC 7519. Formatet är BASE64URL(header) . BASE64URL(payload) . BASE64URL(signature). Signaturen genereras av en av cirka tio definierade algoritmer. Det är där säkerheten bor — och historiskt också där den brustit.

01Standard-claims i payload

RFC 7519 definierar registrerade claims med tre bokstäver, alla valfria men starkt rekommenderade:

iss — issuer, vem signerade tokenen
sub — subject, oftast användar-ID
aud — audience, vilken tjänst tokenen är till för
exp — expiration time (Unix-timestamp). Måste verifieras.
iat — issued at, när tokenen utfärdades
nbf — not before, tokenen är inte giltig före denna tid
jti — JWT-ID, unikt per token. Används för revokerings-listor.

02Signaturalgoritmer — de vanliga

HS256 — HMAC + SHA-256. Symmetrisk: samma hemliga nyckel signerar och verifierar. Bra för mono-tjänster, dåligt om flera parter måste verifiera.
RS256 — RSA + SHA-256. Asymmetrisk: privat nyckel signerar, publik nyckel verifierar. Standard för OIDC.
ES256 — ECDSA på P-256-kurvan. Som RS256 men kortare nycklar och signaturer.
EdDSA — Ed25519. Modern, snabb, säker. Använd om plattformen stödjer det.
none — ingen signatur. Ska aldrig accepteras i produktion. Mer om denna nedan.

03Fallgrop 1: alg:none-attacken

I tidiga JWT-bibliotek (pre-2015) kunde en angripare:

Ta en giltig token
Ändra header till {"alg":"none","typ":"JWT"}
Ändra payload till vad de vill (typ "sub":"admin")
Skicka tokenen utan signatur
Servern verifierade enligt det klienten sa i header — alg "none" → inget att verifiera → access beviljas

Lärdom: Servern måste alltid veta vilken algoritm den förväntar sig. Lita aldrig på alg-fältet från klienten. Moderna bibliotek kräver explicit allow-list av algoritmer.

04Fallgrop 2: weak HMAC secret

HS256-säkerheten bygger helt på att hemligheten är okänd. Om utvecklaren använt secret, changeme, eller appens namn — kan en angripare brute-forca den offline på sekunder med hashcat -m 16500. Då kan de signera vilken token de vill.

HMAC-secret för HS256 ska vara minst 256 bitar (32 bytes) slumpat
Använd RS256/EdDSA om publik nyckel ska finnas på andra system
Audit-revisorer brute-forcar JWT som standard-check, så ska du

05Fallgrop 3: revokering

JWT är stateless. Det är poängen — och problemet. Om en token läcker innan exp, kan du inte enkelt revokera den. Lösningar:

Kort exp + refresh tokens (kort access token, lång refresh på server-state)
Revokerings-databas indexerad på jti (negerar fördelen med stateless)
Roterande signaturnycklar med key ID (kid) i headern

06Prova själv — signera och verifiera

Skriv en payload och en hemlighet. Du får en JWT signerad med HS256 — direkt i din browser, ingen server inblandad. Ändra sedan hemligheten och se signaturen ändras totalt.

Payload (JSON) HMAC-hemlighet (HS256)

resulterande JWT

väntar...

vad alg:none-attacken skulle ge en angripare

tryck för att se

Algoritm: HS256 Verktyg en angripare skulle använda: hashcat -m 16500

JWT är inte hemlig.

01Anatomi: tre delar, två punkter

02JWT är inte krypterad — den är signerad

03Hur den används i en request

04Prova själv — dekoda en JWT

05Vad det betyder för dig

01Standard-claims i payload

02Signaturalgoritmer — de vanliga

03Fallgrop 1: alg:none-attacken

04Fallgrop 2: weak HMAC secret

05Fallgrop 3: revokering

06Prova själv — signera och verifiera

Snabb-koll — tre frågor

Lektion 30 — TLS-handshake