JSON Web Token (JWT) è uno standard aperto (RFC 7519) che definisce un modo compatto e autonomo per trasmettere informazioni tra le parti in formato JSON in modo sicuro. I JWT sono comunemente utilizzati per l'autenticazione e la trasmissione di informazioni sensibili tra client e server. Questa tecnologia offre un modo per garantire l'integrità e la riservatezza dei dati scambiati, rendendoli ideali per applicazioni web moderne e architetture microservizi.

Un JWT è composto da tre parti principali: l'intestazione (header), il payload e la firma. L'intestazione è un oggetto JSON che specifica il tipo di token e l'algoritmo di firma utilizzato, come HMAC SHA256 o RSA. Il payload contiene le affermazioni (claims), che sono le informazioni che vogliamo trasmettere. Queste informazioni possono includere l'ID dell'utente, i ruoli e le autorizzazioni. Infine, la firma è generata combinando l'intestazione codificata, il payload codificato e una chiave segreta utilizzata dall'algoritmo di firma.

La struttura di un JWT è molto semplice. Dopo la codifica in base64, le tre parti sono collegate da un punto. Ad esempio, un JWT potrebbe apparire come segue:

`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c`

La prima parte è l'intestazione, la seconda parte è il payload e la terza parte è la firma. Per garantire la sicurezza, la chiave segreta utilizzata per firmare il token deve essere mantenuta riservata e non deve mai essere esposta all'utente finale.

JWT è molto flessibile e può essere utilizzato per vari casi d'uso, tra cui l'autenticazione degli utenti e il passaggio di informazioni tra microservizi. Un esempio comune di utilizzo di JWT è nell'autenticazione basata su token, in cui un utente inserisce le proprie credenziali (ad esempio, nome utente e password) e, se le credenziali sono valide, il server genera e restituisce un JWT. Da quel momento in poi, l'utente può utilizzare il token per accedere alle risorse protette senza dover reinserire le credenziali.

Ad esempio, in un'applicazione web, l'utente effettua il login e riceve un JWT. Il token viene poi memorizzato nel client (tipicamente nel local storage o nei cookie) e inviato a ogni richiesta al server come parte dell'intestazione HTTP Authorization. Il server, a sua volta, verifica la validità del token e può autorizzare l'accesso alle risorse richieste.

Un altro caso d'uso comune è nelle architetture microservizi, dove i JWT possono essere utilizzati per autenticare le chiamate tra diversi servizi. In questo scenario, un microservizio può generare un JWT dopo aver autenticato un utente, e poi utilizzare quel token per autorizzare le richieste ad altri microservizi, garantendo così che solo gli utenti autenticati possano accedere a risorse specifiche.

I JWT possono anche contenere informazioni aggiuntive nel payload, come le date di scadenza (exp) e le date di emissione (iat), che possono aiutare a gestire la validità del token. Inoltre, è possibile includere informazioni personalizzate, come i ruoli degli utenti, per facilitare il controllo degli accessi.

La sicurezza dei JWT è un aspetto cruciale. Anche se i dati all'interno del payload non sono crittografati, ma solo codificati, è fondamentale utilizzare HTTPS per proteggere il token durante la trasmissione. Inoltre, è importante utilizzare una chiave segreta complessa e conservarla in modo sicuro. Se un attaccante riesce a ottenere la chiave segreta, potrebbe generare token falsi e accedere alle risorse protette.

Anche se i JWT offrono diversi vantaggi, ci sono alcune considerazioni da tenere a mente. Ad esempio, poiché i JWT possono avere una durata di vita lunga, un token compromesso può rappresentare un rischio per un lungo periodo. Per mitigare questo rischio, è possibile implementare un sistema di revoca dei token o utilizzare token a breve termine con un meccanismo di rinnovo.

Alcune librerie popolari per la gestione dei JWT includono jsonwebtoken per Node.js, PyJWT per Python e java-jwt per Java. Queste librerie semplificano il processo di generazione, verifica e decodifica dei token, rendendo più facile implementare la funzionalità JWT nelle applicazioni.

In termini di formula, la generazione della firma di un JWT può essere rappresentata come segue:

Firma = HMACSHA256( base64UrlEncode(header) + . + base64UrlEncode(payload), secret)

Dove `base64UrlEncode` è una funzione che codifica i dati in formato Base64 URL-safe, `HMACSHA256` è l'algoritmo di hash utilizzato per generare la firma e `secret` è la chiave segreta utilizzata nella generazione della firma.

JWT è stato sviluppato come parte di un'iniziativa più ampia nel contesto delle specifiche di sicurezza dell'Internet Engineering Task Force (IETF). Il concetto di JWT è stato proposto da diverse figure significative nel campo della sicurezza delle applicazioni, tra cui Iman Keivanloo, Derek Martin e altri membri della comunità open-source. Questi contributi hanno portato alla creazione di uno standard ben definito e alla sua adozione in varie tecnologie e framework.

In sintesi, JWT è diventato uno degli standard più diffusi per l'autenticazione e il trasferimento di informazioni tra client e server. Grazie alla sua struttura compatta, alla facilità d'uso e alla sicurezza offerta, i JWT sono ampiamente utilizzati in applicazioni moderne, dalle app web a quelle mobili, fino alle architetture basate su microservizi. La corretta implementazione e gestione dei JWT è essenziale per garantire la sicurezza delle applicazioni e la protezione dei dati sensibili.