Appendix B. Relationship of JWTs to SAML Assertions (JWTとSAMLアサーションの関係)
SAML 2.0 [OASIS.saml-core-2.0-os] は、セキュリティアサーションを表現する標準的な方法を提供します。SAMLアサーションはXMLベースであるため、比較的冗長です。
JWTは、XMLの代わりにJSONを使用して同様の情報を表現するコンパクトな方法を提供し、HTTP AuthorizationヘッダーやURIクエリパラメータなどのスペースが制限された環境での使用に適しています。
SAMLアサーションと同様に、JWTは署名および/または暗号化してその内容を保護できます。ただし、JWTはこれを実現するためにJOSE (JSON Object Signing and Encryption) 標準を使用しますが、SAMLはXML SignatureとXML Encryptionを使用します。
JWTとSAMLアサーションはどちらもアイデンティティと認可情報を表現するために使用できますが、構文と処理モデルが異なります。アプリケーションは、そのニーズに最も適した形式を選択できます。