Statt Sessions: Web-Authentifizierung mit JSON Web Tokens

Um eine Anmeldung im Web wiederzuerkennen, waren Sessions lange das Mittel der Wahl. Heute arbeiten Entwickler vermehrt mit JSON Web Tokens.

Artikel verschenken

18

(Bild: Albert Hulm)

23.07.2019, 09:40 Uhr

Lesezeit: 13 Min.

c't Magazin

Von

Manuel Ottlik

Statt Sessions: Web-Authentifizierung mit JSON Web Tokens
- Daten im Token gespeichert
- JSON-Attribute für festgelegte Inhalte
Signatur erstellen

Artikel in c't 16/2019 lesen

Die Authentifizierung innerhalb von HTTP-Webanwendungen lösen Entwickler traditionell mit Sessions: Ein Benutzer meldet sich mit seinen Anmeldedaten an; stimmen diese mit Werten aus der Benutzerdatenbank überein, legt der Server eine Session mit Daten über den Benutzer an – einen Datensatz mit Informationen zur Benutzersitzung.

Den Datensatz speichert der Server zum Beispiel auf seiner Festplatte – in vielen Implementierungen als einfache Textdatei. Der Datensatz wird mit einer Session-ID verknüpft, eine zufällige und lange Zeichenkette. Diese ID bekommt der Client nach der Anmeldung als Cookie gesendet. Er speichert diese und sendet sie bei zukünftigen Anfragen an den Server quasi als Ausweis mit. So schafft man es, über das zustandslose Protokoll HTTP eine nicht-zustandslose Verbindung zwischen Client und Server herzustellen. Wenn der Client nun eine weitere Anfrage an den Server sendet, hängt er die Session-ID an. Dieses Verfahren hat lange gut funktioniert, stößt aber in modernen Webanwendungen, die auf viele Server verteilt sind, an seine (Performance-)Grenzen.

Die Session selbst wird nämlich auf genau einem Server gespeichert. Sobald mehrere Server redundant laufen, um etwa einen Lastenausgleich herstellen zu können und hohe Zugriffszahlen zu bewältigen, taucht ein Problem auf: Damit alle am Lastenausgleich beteiligten Server die hinterlegten Informationen zu einer Session-ID kennen, müsste man die Sessions aufwendig synchronisieren. Ein ähnliches Problem tritt auf, wenn der Nutzer per Single-Sign-On (SSO) mit einer Anmeldung mehrere Anwendungen nutzen soll. Jeder beteiligte Dienst bräuchte eine Kopie aller Sessions. Kommt es in einem Dienst zu einem Leck, wären alle anderen Dienste ebenfalls kompromittiert. Verteilte Systeme verlangen also nach einer Möglichkeit, Nutzer zu authentifizieren, ohne dass ein zentraler Session-Speicher als Flaschenhals im Wege steht.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Nextcloud mit Apps erweitern: Fotoverwaltung, Aufgaben, Notizen und Kochbuch

Mit Nextcloud Hub bauen Nutzer ihren eigenen Cloud-Speicher. Apps machen ihn zur Schaltzentrale mit Fotoverwaltung, Notizfunktion, Kochbuch – und vielem mehr.

Noise-Cancelling-Kopfhörer für 21 Euro: Das taugt der Ugreen HiTune Max5c

Der HiTune Max5c verspricht für schmales Geld aktive Geräuschunterdrückung, lange Laufzeiten, LDAC und Multipoint-Verbindung. Doch wie gut klingt der Kopfhörer?

PC-Bauvorschlag: High-End-Allrounder mit Ryzen 9000 und Radeon RX 9070 XT

Unser leistungsfähiger, aber leiser Bauvorschlag tritt in zwei Varianten an. Sie können ihn für Gaming, KI-Anwendungen sowie Foto- und Videobearbeitung nutzen.

Z-Image in der Praxis: Schnelle KI-Bilder ohne Limit – sogar mit wenig VRAM

Mit Z-Image erschaffen selbst günstige Grafikkarten in Sekunden hochwertige KI-Bilder – für Flyer und Plakate mit Text oder als Vorlage für KI-Filme.

Wie Sie die Heizkurve senken und sofort Geld sparen – bei jeder Heizung

Niedrige Vorläufe sind eine Voraussetzung für den effizienten Betrieb einer Wärmepumpe. Sie können aber bei jeder Heizung mit wenigen Handgriffen Geld sparen.

Wenn Polizei und Ermittlungsbehörden die Inhalte von Smartphones sehen wollen

Bei Kontrollen und Hausdurchsuchungen sind Mobiltelefoninhalte begehrte Beweismittel. Selbst als Beifänge offenbaren sie nicht selten interessante Zufallsfunde.