12. Privacy Considerations (Datenschutzüberlegungen)
JWTs können datenschutzsensible Informationen über Personen enthalten. In diesem Fall müssen Maßnahmen ergriffen werden, um die Offenlegung dieser Informationen an unbefugte Parteien zu verhindern. Ein Ansatz besteht darin, verschlüsselte JWTs zu verwenden und das JWT mit Verschlüsselung zu authentifizieren. JWT-Ersteller sollten darauf achten, keine personenbezogenen Daten (PII) oder andere sensible Informationen in ein JWT aufzunehmen, es sei denn, es werden geeignete Schutzmaßnahmen getroffen, damit diese Informationen nicht an unbefugte Parteien weitergegeben werden.
Beachten Sie, dass selbst wenn ein JWT verschlüsselt ist, die Anspruchsnamen im JWT Claims Set weiterhin sichtbar sind (sie sind nur base64url-kodiert). Daher sollten sensible Anspruchsnamen selbst keine datenschutzsensiblen Informationen preisgeben.
In vielen Anwendungsszenarien werden JWTs vorübergehend gespeichert (z. B. als Teil einer HTTP-Anfrage übertragen). In Szenarien, in denen JWTs jedoch persistiert werden (z. B. in Cookies oder Datenbanken), sollten Datenschutzrisiken im Zusammenhang mit der langfristigen Speicherung sensibler Informationen berücksichtigt werden.