JSONオブジェクトに含まれる情報は、デジタル署名されているため検証可能であり、信頼できます。JWTは、当事者間で機密性を確保するために暗号化することもできますが、Auth0が発行するJWTはJSON Web Signature(JWS)であり、暗号化ではなく署名が行われます。そのため、私たちは署名付きトークンに焦点を当てます。署名付きトークンは、その中に含まれるクレームの整合性を検証できますが、暗号化されたトークンはそうしたクレームを他の当事者から隠します。一般的に、JWTは秘密鍵(HMACアルゴリズムを使用)、あるいはRSAまたはECDSAを使用した公開鍵/秘密鍵ペアで署名できます(ただし、Auth0はHMACとRSAのみをサポートしています)。トークンが公開鍵/秘密鍵のペアを使用して署名されている場合、その署名は、秘密鍵を保有する当事者だけが署名した人物であることも証明します。受け取ったJWTを使用する前に、その署名を使用して適切に検証する必要があります。トークンの検証が正常に完了しても、そのトークンに含まれる情報が他の人物によって変更されていないことを意味するだけであることに注意してください。プレーンテキストで保存されているコンテンツを他の人物が見られなかったという意味ではありません。このため、JWTには絶対に機密情報を保存してはならず、JWTをHTTPSのみで送信する、ベストプラクティスに従う、安全で最新のライブラリのみを使用するなど、JWTが傍受されないようにその他の対策を講じる必要があります。
