12. Privacy Considerations (Considerazioni sulla privacy)
I JWT possono contenere informazioni sensibili alla privacy riguardanti individui. Quando questo è il caso, devono essere adottate misure per prevenire la divulgazione di queste informazioni a parti non autorizzate. Un approccio consiste nell'utilizzare JWT crittografati e autenticare il JWT con crittografia. I creatori di JWT dovrebbero fare attenzione a non includere informazioni personalmente identificabili (PII) o altre informazioni sensibili in un JWT, a meno che non vengano adottate protezioni appropriate in modo che queste informazioni non vengano divulgate a parti non autorizzate.
Si noti che anche quando un JWT è crittografato, i nomi delle rivendicazioni nel JWT Claims Set sono ancora visibili (sono solo codificati in base64url). Pertanto, i nomi delle rivendicazioni sensibili stessi non dovrebbero rivelare informazioni sensibili alla privacy.
In molti scenari applicativi, i JWT vengono archiviati temporaneamente (ad esempio, trasmessi come parte di una richiesta HTTP). Tuttavia, negli scenari in cui i JWT vengono persistiti (ad esempio, in cookie o database), dovrebbero essere considerati i rischi per la privacy associati all'archiviazione a lungo termine di informazioni sensibili.