Всё, что вы хотели знать о веб‑токенах, но боялись спросить

Екатерина Гайнуллина, Security Vision. Веб-токен представляет собой цифровой идентификатор, который функционирует как маркер доверия между пользователем и сервером. Этот идентификатор выдаётся после того, как пользователь успешно пройдёт процедуру аутентификации. При каждом последующем обращении к серверу клиент передаёт токен, который позволяет серверу убедиться в том, что запрос поступает от авторизованного пользователя. Как правило, токен не содержит конфиденциальной информации, такой как пароли. На практике токен может представлять собой либо случайный идентификатор сессии, либо структурированные данные с подписью, например, JSON Web Token (JWT). Цифровая подпись обеспечивает защиту содержимого токена от подделок. Сервер может проверить подлинность токена, проверив подпись или запись об активной сессии. По своей сути токен аналогичен удостоверению личности, которое подтверждает, что проверка уже была пройдена и нет необходимости повторно вводить пароль при каждом запросе.