Appendix B. Relationship of JWTs to SAML Assertions (Beziehung von JWTs zu SAML-Assertions)
SAML 2.0 [OASIS.saml-core-2.0-os] bietet eine Standardmethode zur Darstellung von Sicherheitsassertionen. SAML-Assertionen sind XML-basiert und daher relativ ausführlich.
JWTs bieten eine kompakte Möglichkeit, ähnliche Informationen unter Verwendung von JSON anstelle von XML darzustellen, wodurch sie besser für die Verwendung in platzbeschränkten Umgebungen wie HTTP Authorization-Headern und URI-Abfrageparametern geeignet sind.
Wie SAML-Assertionen können JWTs signiert und/oder verschlüsselt werden, um ihren Inhalt zu schützen. JWTs verwenden jedoch die JOSE (JSON Object Signing and Encryption)-Standards, um dies zu erreichen, während SAML XML Signature und XML Encryption verwendet.
Obwohl sowohl JWTs als auch SAML-Assertionen zur Darstellung von Identitäts- und Autorisierungsinformationen verwendet werden können, haben sie unterschiedliche Syntaxen und Verarbeitungsmodelle. Anwendungen können das Format wählen, das ihren Bedürfnissen am besten entspricht.