アクセストークン
JWTのアクセストークンはリソースにアクセスするための情報である。 認証サーバーから受け取ったアクセストークンを利用してAPIアクセス時にAPIサーバー自身がトークンの検証を行うことができる。 この際、認証サーバーが秘密鍵を使って行った署名に対して公開鍵を使って検証を行う。 アクセストークンは頻繁にAPIサーバーとやり取りを行うため、漏洩のリスクが高い。 そのため、アクセストークンの有効期限は短めに設定することが多い。
sequenceDiagram participant クライアント participant 認証サーバー participant APIサーバー クライアント->>認証サーバー: ログイン(ID/PW) 認証サーバー-->>クライアント: アクセストークン発行 Note over クライアント: アクセストークンを保存(短期間有効) クライアント->>APIサーバー: アクセストークンを付けてAPIリクエスト APIサーバー->>APIサーバー: JWTを公開鍵で検証 APIサーバー-->>クライアント: レスポンス