~$ man jwt
ما هو JWT (JSON Web Token)؟
التعريف
رمز JWT هو معيار مفتوح يُستخدم لنقل المطالبات بين طرفين ككائن JSON مضغوط وآمن. يتكون من ثلاثة أجزاء رئيسية هي الرأس والحمولة والتوقيع الرقمي.
يُستخدم رمز JWT بشكل أساسي للمصادقة والتفويض في التطبيقات الحديثة بدلاً من تخزين الجلسات على الخادم، مما يجعله مناسباً للأنظمة الموزعة والخدمات المصغرة.
يشبه رمز JWT تذكرة السينما التي تحتوي على اسمك ورقم المقعد وختم السينما، فتدخل بها مرة واحدة وتتحقق منها البوابة دون الحاجة للرجوع إلى مكتب التذاكر.
نقاط أساسية
- يُمكّن المصادقة عديمة الحالة بين الخادم والعميل.
- يقلل الحمل على قواعد البيانات لأنه لا يحتاج تخزين الجلسات.
- يجب نقله دائماً عبر اتصال HTTPS للحماية من الاعتراض.
- يدعم خوارزميات توقيع متعددة مثل HMAC وRSA.
- يُفضل استخدامه لفترات قصيرة مع آلية تجديد منفصلة.
سوق العمل في 2026
في سوق العمل التقني لعام ٢٠٢٦ يزداد الطلب على مطوري الخلفية ومهندسي الأمن السيبراني الذين يتقنون تصميم وتأمين واجهات برمجة التطبيقات باستخدام رموز JWT، خاصة في بيئات الحوسبة السحابية والخدمات المصغرة.
أسئلة شائعة
كيف يتم التحقق من صحة رمز JWT؟
يتم التحقق بحساب التوقيع باستخدام المفتاح السري أو العام ثم مقارنته بالتوقيع الموجود في الرمز. إذا تطابق التوقيع ولم تنتهِ صلاحية الرمز يُعتبر صالحاً.
ما الفرق بين رمز JWT ورمز الجلسة التقليدي؟
رمز JWT يحمل البيانات داخفرة ولا يحتاج تخزيناً على الخادم بينما رمز الجلسة يُخزن على الخادم ويُرسل معرف فقط. هذا يجعل JWT أنسب للتطبيقات الموزعة.
هل يمكن تشفير البيانات داخل رمز JWT؟
نعم يمكن استخدام JWE لتشفير الحمولة بالكامل بالإضافة إلى التوقيع. لكن الاستخدام الشائع يعتمد على التوقيع فقط مع نقل البيانات غير الحساسة.
ما مدة صلاحية رمز JWT الموصى بها؟
تُفضل مدة قصيرة تتراوح بين خمس دقائق وساعة واحدة لتقليل مخاطر السرقة. يُستخدم رمز تجديد منفصل للحصول على رمز جديد عند الحاجة.
دورات للتعمّق أكثر
