RFC 7519 - JSON Web Token (JWT)

Veröffentlichungsdatum: Mai 2015
Status: Standards Track
Autoren: M. Jones (Microsoft), J. Bradley (Ping Identity), N. Sakimura (NRI)

---

Zusammenfassung (Abstract)

JSON Web Token (JWT) ist eine kompakte, URL-sichere Methode zur Darstellung von Ansprüchen (Claims), die zwischen zwei Parteien übertragen werden sollen. Die Ansprüche in einem JWT werden als JSON-Objekt kodiert, das als Payload einer JSON Web Signature (JWS) Struktur oder als Klartext einer JSON Web Encryption (JWE) Struktur verwendet wird. Dies ermöglicht es, die Ansprüche digital zu signieren oder mit einem Message Authentication Code (MAC) integritätsgeschützt und/oder verschlüsselt zu übertragen.

---

Status dieses Dokuments (Status of This Memo)

Dies ist ein Internet Standards Track Dokument.

Dieses Dokument ist ein Produkt der Internet Engineering Task Force (IETF). Es repräsentiert den Konsens der IETF-Gemeinschaft. Es wurde öffentlich überprüft und von der Internet Engineering Steering Group (IESG) zur Veröffentlichung freigegeben. Weitere Informationen zu Internet-Standards sind in Abschnitt 2 von RFC 5741 verfügbar.

Informationen über den aktuellen Status dieses Dokuments, etwaige Errata und wie man Feedback geben kann, sind unter http://www.rfc-editor.org/info/rfc7519 erhältlich.

---

Inhaltsverzeichnis (Table of Contents)

• 1. Introduction (Einführung)
  • 1.1. Notational Conventions (Notationskonventionen)
• 2. Terminology (Terminologie)
• 3. JSON Web Token (JWT) Overview (JWT-Übersicht)
  • 3.1. Example JWT (JWT-Beispiel)
• 4. JWT Claims (JWT-Ansprüche)
  • 4.1. Registered Claim Names (Registrierte Anspruchsnamen)
  • 4.2. Public Claim Names (Öffentliche Anspruchsnamen)
  • 4.3. Private Claim Names (Private Anspruchsnamen)
• 5. JOSE Header (JOSE-Header)
  • 5.1. "typ" (Type) Header Parameter (Typ-Header-Parameter)
  • 5.2. "cty" (Content Type) Header Parameter (Content-Type-Header-Parameter)
  • 5.3. Replicating Claims as Header Parameters (Replikation von Ansprüchen als Header-Parameter)
• 6. Unsecured JWTs (Ungesicherte JWTs)
  • 6.1. Example Unsecured JWT (Beispiel für ungesichertes JWT)
• 7. Creating and Validating JWTs (Erstellen und Validieren von JWTs)
  • 7.1. Creating a JWT (Erstellen eines JWT)
  • 7.2. Validating a JWT (Validieren eines JWT)
  • 7.3. String Comparison Rules (String-Vergleichsregeln)
• 8. Implementation Requirements (Implementierungsanforderungen)
• 9. URI for Declaring that Content is a JWT (URI zur Deklaration von JWT-Inhalten)
• 10. IANA Considerations (IANA-Überlegungen)
  • 10.1. JSON Web Token Claims Registry (JWT-Anspruchsregister)
  • 10.2. Sub-Namespace Registration (Unternamensraum-Registrierung)
  • 10.3. Media Type Registration (Medientyp-Registrierung)
  • 10.4. Header Parameter Names Registration (Header-Parameter-Namen-Registrierung)
• 11. Security Considerations (Sicherheitsüberlegungen)
  • 11.1. Trust Decisions (Vertrauensentscheidungen)
  • 11.2. Signing and Encryption Order (Reihenfolge von Signatur und Verschlüsselung)
• 12. Privacy Considerations (Datenschutzüberlegungen)
• 13. References (Referenzen)
  • 13.1. Normative References (Normative Referenzen)
  • 13.2. Informative References (Informative Referenzen)

Anhänge (Appendices)

• Appendix A. JWT Examples (JWT-Beispiele)
  • A.1. Example Encrypted JWT (Beispiel für verschlüsseltes JWT)
  • A.2. Example Nested JWT (Beispiel für verschachteltes JWT)
• Appendix B. Relationship of JWTs to SAML Assertions (Beziehung zwischen JWTs und SAML-Assertions)
• Appendix C. Relationship of JWTs to Simple Web Tokens (Beziehung zwischen JWTs und Simple Web Tokens)

---

Verwandte Ressourcen

• Offizieller Text: RFC 7519
• Offizielle Seite: RFC 7519 DataTracker
• Errata: RFC Editor Errata

---

Danksagungen (Acknowledgements)

Diese Spezifikation basiert auf früheren Arbeiten zu JSON Web Token (JWT) und Simple Web Token (SWT). Dank an alle Arbeitsgruppenmitglieder, die zu diesem Standard beigetragen haben.

---

Urheberrechtshinweis (Copyright Notice)

Copyright (c) 2015 IETF Trust und die als Dokumentautoren identifizierten Personen. Alle Rechte vorbehalten.

Dieses Dokument unterliegt BCP 78 und den rechtlichen Bestimmungen des IETF Trust in Bezug auf IETF-Dokumente (http://trustee.ietf.org/license-info), die zum Zeitpunkt der Veröffentlichung dieses Dokuments gültig sind. Bitte lesen Sie diese Dokumente sorgfältig durch, da sie Ihre Rechte und Einschränkungen in Bezug auf dieses Dokument beschreiben. Aus diesem Dokument extrahierte Codekomponenten müssen den Text der Simplified BSD License enthalten, wie in Abschnitt 4.e der Trust Legal Provisions beschrieben, und werden ohne Garantie bereitgestellt, wie in der Simplified BSD License beschrieben.

---