Что такое JWT: простой гид по токенам аутентификации

Q: Из чего состоит JWT и что означают три части?

JWT обычно состоит из трёх частей: . - — тип токена и алгоритм подписи ( ) - — claims (например, , , роли) - — подпись, которая защищает и от незаметной подмены Важно: Base64URL — это не шифрование. можно прочитать, даже если подпись валидна.

Q: Какие claims в JWT важнее всего и что туда не стоит класть?

Минимально полезные и часто обязательные поля: - — когда токен истекает - — стабильный идентификатор пользователя - — кто выпустил токен - — для какого сервиса/API токен предназначен Дополнительно часто встречаются , , , . Не кладите в секреты и лишние персональные данные — его легко декодировать.

Q: Как сервер должен проверять JWT, чтобы это было безопасно?

Сервер не должен доверять данным из , пока не выполнит строгую валидацию: - проверить подпись корректным ключом и разрешённым алгоритмом - проверить (и при необходимости ) с учётом допустимого clock skew - проверить и , чтобы не принять «чужой» или «не для этого API» токен При ошибке обычно возвращают , а в логи пишут причину, но не сам токен целиком.

Q: Где безопаснее хранить JWT в браузере: cookie, memory или localStorage?

Коротко по популярным вариантам: - HttpOnly cookie : токен не доступен JS → меньше ущерб от XSS; но cookie уходит автоматически → нужен контроль CSRF (например, , CSRF-токен, ). - In-memory : не переживает перезагрузку → меньше «долгой жизни» украденного токена; но нужен refresh-механизм. - localStorage : просто и переживает перезагрузку; но при XSS токен легко украсть. Частый компромисс для SPA: access-токен в памяти, refresh — в более защищённом канале (например, cookie).

Q: Какие типичные ошибки при работе с JWT встречаются чаще всего?

Частые ошибки, которые реально приводят к уязвимостям: - доверять из заголовка и не ограничивать алгоритмы (allowlist) - слабый секрет при HS256 (подбор → выпуск фальшивых токенов) - не проверять и (API принимает токен «не оттуда» или «не для него») - слишком долгий без механизма отзыва - логировать токены целиком (утечки через логи/трейсинг) Если используете OAuth 2.0/OIDC, проверьте базу: /blog/oauth2-oidc-osnovy — и по возможности опирайтесь на проверенные библиотеки валидации и работы с ключами.

Войти Начать

Что такое JWT: простой гид по токенам аутентификации | ТакПросто.ai

JWT простыми словами: что это и зачем нужно

JWT (JSON Web Token) — это компактный токен-«пропуск», который сервер выдаёт пользователю после входа, а затем клиент отправляет обратно при каждом запросе. Так сервер понимает, кто вы и что вам разрешено, не заставляя вводить пароль снова.

Какие задачи решает JWT

JWT чаще всего используют для двух вещей:

Аутентификация (подтверждение личности): сервер видит токен и понимает, какой пользователь уже вошёл.
Авторизация (проверка прав): в токене могут быть роли/разрешения, чтобы API решало, можно ли выполнять конкретное действие.

Важно: JWT не хранит «сессию» на сервере в привычном смысле. Сервер проверяет токен и принимает решение. При этом в реальных системах дополнительные проверки по базе/кэшу всё равно могут понадобиться (например, для отзыва доступа).

Где JWT встречается

JWT особенно удобен там, где много запросов и нужно каждый раз «приносить» подтверждение входа с собой:

API для веб‑сервисов и микросервисов
SPA (одностраничные приложения в браузере)
мобильные приложения

Что важно помнить

JWT сам по себе не является «магией безопасности». Это формат передачи утверждений о пользователе, защищённый подписью. Без правильных сроков жизни токенов, безопасного хранения на клиенте, корректной проверки подписи и продуманного отзыва JWT легко создаёт ложное ощущение защищённости.

Дальше разберём устройство токена, алгоритмы подписи и практики, которые делают JWT действительно безопасным.

Аутентификация и авторизация: где здесь JWT

JWT часто путают со «способом логина», но на практике он чаще решает другую задачу: как безопасно и удобно передавать результат входа между клиентом и сервером при последующих запросах.

Аутентификация vs авторизация — в чём разница

Аутентификация отвечает на вопрос: «Кто вы?» — например, вход по паролю, коду из SMS или через соцсеть.

Авторизация отвечает на вопрос: «Что вам можно?» — доступ к профилю, изменение данных, просмотр счетов, вход в админку и т. д.

JWT обычно находится на стыке этих этапов: после успешной аутентификации сервер выдаёт токен, который помогает подтверждать личность и права в следующих запросах.

Как JWT передаёт факт входа и права

JWT — это строка, которую клиент прикладывает к запросам (обычно в заголовке Authorization). Внутри — claims (утверждения), например идентификатор пользователя и роли.

Сервер получает токен, проверяет его подлинность и понимает:

какой пользователь обращается;
какие действия ему разрешены.

Пример: профиль vs админка

Допустим, токен содержит роль user. Тогда запрос к «Мой профиль» пройдёт.

А раздел «Админка» потребует роль admin. Если такого права в токене нет, сервер вернёт отказ — даже если пользователь «в целом вошёл».

Типовая схема: логин → токен → запросы с токеном

Пользователь проходит вход.
Сервер проверяет данные и выдаёт JWT.
Клиент сохраняет токен и отправляет его с каждым запросом к API.
Сервер валидирует токен и решает, пускать ли пользователя к ресурсу.

JWT vs сессии и cookies: ключевые различия

Оба подхода решают одну задачу — «как понять, кто перед нами», — но делают это по-разному: сессии опираются на состояние на сервере, а JWT переносит часть контекста в сам токен.

Сессионная авторизация: сервер хранит состояние

При классических сессиях после логина сервер создаёт запись сессии (память, Redis, база) и выдаёт клиенту идентификатор. Обычно этот идентификатор хранится в cookie.

Важно: cookie здесь — лишь контейнер для ID, а все ключевые данные (кто пользователь, права, срок) остаются на сервере.

JWT: сервер проверяет подпись

JWT — «самодостаточный» токен: внутри есть данные (claims) и подпись. Сервер получает токен и проверяет подпись, срок действия и нужные поля.

Идея проста: сервер доверяет не клиенту, а криптографической подписи. Если токен не подделан и не истёк — запрос можно обрабатывать.

Масштабирование и отзыв: главный компромисс

Сессии проще отзывать: удалили запись на сервере — и дальнейшие запросы с этим ID недействительны. Это удобно для «выйти со всех устройств», блокировки аккаунта, экстренного отзыва доступа.

JWT удобен, когда много сервисов должны проверять вход без общего хранилища сессий. Но отзыв сложнее: если токен выдан на час, то без дополнительной логики он останется валидным весь час.

Когда сессии проще и безопаснее

Сессии часто выигрывают в типичных веб‑приложениях (особенно монолитах):

меньше риск ошибок вокруг сроков жизни и отзыва;
проще обеспечить принудительный logout;
легче контролировать «одну активную сессию» и подозрительные входы.

JWT обычно оправдан, когда вы строите API для нескольких клиентов/сервисов и хотите дешёвую проверку на каждом запросе без постоянного обращения к хранилищу сессий.

Из чего состоит JWT: Header, Payload, Signature

JWT обычно выглядит как строка с тремя частями:

header.payload.signature

Каждая часть закодирована в Base64URL, чтобы токен было удобно передавать в HTTP‑заголовках и URL. Важно: Base64URL — не шифрование, а только «упаковка».

Header: «паспорт» токена

Header описывает, какой это токен и как он подписан. Чаще всего там:

typ: тип, обычно JWT (иногда опускают)
alg: алгоритм подписи, например HS256 или RS256

Payload: полезная нагрузка (claims)

Payload содержит claims — утверждения о пользователе и самом токене. Часто встречаются:

sub — идентификатор пользователя
exp — срок действия
iat — когда выдан
aud, iss — для кого токен и кем выпущен
дополнительные поля: роль, права, tenant и т. п.

Ключевой момент: payload не является секретом. Его легко прочитать (достаточно декодировать Base64URL), поэтому не кладите туда пароли и чувствительные данные.

Signature: защита от подмены

Signature — криптографическая подпись, которая доказывает, что header и payload не меняли по дороге. Если кто-то подменит роль в payload (например, user на admin), подпись перестанет сходиться, и сервер должен отклонить токен.

Claims в JWT: какие поля важны и как их читать

Claims — это набор полей внутри payload JWT. Они описывают контекст: кто пользователь, для какого сервиса выдан токен, когда он действителен и какие ограничения применяются.

Стандартные поля, которые встречаются чаще всего

iss (issuer) — кто выпустил токен (например, ваш auth‑сервис).
sub (subject) — идентификатор субъекта, обычно user id. Лучше хранить стабильный ID, а не e‑mail.
aud (audience) — для какого получателя токен предназначен (конкретный API или набор сервисов).
exp (expiration time) — время истечения.
iat (issued at) — когда токен выдан.
nbf (not before) — токен действителен только после указанного времени.

Срок жизни и clock skew

Обычно срок жизни задают через exp (короткий для access‑токена). На практике часы разных узлов могут расходиться — это clock skew. Поэтому при валидации часто допускают небольшой «зазор» в несколько минут.

Пример набора claims для API

{
  "iss": "https://auth.example",
  "sub": "user_12345",
  "aud": "api://orders",
  "exp": 1735689600,
  "iat": 1735686000,
  "nbf": 1735686000,
  "scope": "orders:read orders:write",
  "jti": "b7b1f2c2-6c2a-4a8a-9e3d-1a2b3c4d5e6f"
}

Здесь scope задаёт разрешения, а jti (JWT ID) помогает точечно отзывать токены или выявлять повторное использование.

Подпись и алгоритмы: HS256, RS256 и когда нужен JWE

Откатите неудачный релиз

Снимки и rollback помогают безопасно экспериментировать с авторизацией.

Включить

JWT часто путают с «шифрованным токеном». На практике большинство JWT — это подписанные токены (JWS), а не зашифрованные (JWE).

JWS (подпись) vs JWE (шифрование)

JWS — JWT с подписью. Payload читается как Base64URL: его легко декодировать, но нельзя незаметно изменить.
JWE — JWT с шифрованием. Содержимое токена скрыто; прочитать payload может только тот, у кого есть ключ расшифровки.

Если вам нужно скрывать содержимое токена от клиента/логов/прокси — рассматривайте JWE, но учитывайте, что это усложняет обмен ключами и отладку.

HS256: симметричный ключ (один секрет)

HS256 использует один общий секрет для подписи и проверки.

Плюсы: просто и быстро.
Минусы: секрет должны знать все сервисы, которые проверяют токен. Если секрет утечёт хотя бы в одном месте, злоумышленник сможет выпускать «валидные» токены.

RS256/ES256: асимметричные ключи (пара ключей)

RS256 (RSA) и ES256 (ECDSA) разделяют роли:

приватный ключ — только у сервиса, который выпускает токены;
публичный ключ — у всех, кто проверяет.

Это удобно для микросервисов и внешних интеграций: проверяющих много, а «подписывающий» один.

Управление ключами: ротация, хранение, доступ

Ключи — «главный пароль» вашей системы токенов.

Хранение: не в коде и не в репозитории; используйте секрет‑хранилище/KMS.
Ротация: планируйте смену ключей заранее; держите несколько ключей одновременно (активный и старые для проверки).
Доступ: минимальный: приватный ключ — только сервису выдачи, публичные — всем проверяющим.

Как сервер проверяет JWT: базовая схема валидации

JWT имеет смысл только тогда, когда сервер умеет его строго проверять. До успешной валидации нельзя доверять ни sub, ни ролям, ни любым данным из payload.

1) Извлечение токена и базовые проверки формата

Обычно токен приходит в заголовке Authorization: Bearer <token>. Сервер проверяет, что токен похож на JWT (три части, разделённые точками) и что он не пустой/не повреждён.

2) Проверка подписи

Сервер должен:

декодировать header и понять, какой алгоритм указан (alg);
выбрать правильный ключ: секрет для HS* или публичный ключ для RS*/ES*;
криптографически проверить, что подпись соответствует header+payload и выбранному ключу.

Если подпись не сходится — токен поддельный или ключ неверный, запрос отклоняется.

3) Проверка времени жизни: exp/nbf/iat

После подписи проверяют «временные» поля:

exp — токен просрочен → отказ;
nbf — токен ещё не должен работать → отказ;
iat — помогает оценить «свежесть» (и отлавливать аномалии).

Практика: допускают небольшой clock skew, иначе пользователи будут получать случайные ошибки из‑за расхождения часов.

4) Проверка iss и aud

Чтобы токен не принимался «не тем» сервисом, сервер сверяет:

iss — кто выпустил токен;
aud — для какой аудитории/сервиса он предназначен.

Если aud не совпадает с вашим API, токен нельзя принимать даже при валидной подписи.

5) Обработка ошибок: что возвращать и что логировать

Клиенту лучше отвечать нейтрально: 401 Unauthorized (иногда с WWW-Authenticate) без подробностей.

В логах полезно фиксировать причину (просрочен, неверная подпись, неверный aud/iss), но не логировать токен целиком.

Где хранить JWT на клиенте: безопасность и компромиссы

Стартуйте с free тарифом

Проверьте идею с JWT на free тарифе и решите, когда расширяться.

Начать бесплатно

JWT — это строка. На клиенте ключевой вопрос: где её держать, чтобы не отдать злоумышленнику и не сломать UX. Универсально «идеального» места нет — всегда компромисс между XSS, CSRF и удобством.

Плюсы: JavaScript не может прочитать токен, если cookie помечена как HttpOnly. Это снижает ущерб от XSS.

Минусы: cookie автоматически уходит с запросами к вашему домену — значит, появляется риск CSRF.

Чтобы снизить CSRF‑риски, обычно используют:

SameSite=Lax (часто достаточно для классических сайтов)
SameSite=Strict (строже, но может ломать некоторые сценарии)
Secure (только по HTTPS)
отдельный CSRF‑токен для опасных операций (если нужно)

Вариант 2: Память приложения (in-memory)

Плюсы: токен не сохраняется на диск и не переживает закрытие вкладки — это уменьшает шанс «долгой жизни» украденного токена.

Минусы: при перезагрузке страницы токен исчезает — почти всегда нужен refresh‑механизм или повторный вход.

Для SPA это часто хороший компромисс: access token держат в памяти, а обновление делают через более защищённый канал (например, refresh в cookie).

Вариант 3: localStorage

Плюсы: просто реализовать, токен переживает перезагрузку.

Минусы: при XSS злоумышленник может прочитать localStorage и унести токен. Это одна из самых частых причин утечек токенов в браузерных приложениях.

Практические рекомендации

Для классических веб‑приложений часто выбирают HttpOnly Secure cookie + SameSite + HTTPS.
Для SPA распространённый подход: access token в памяти, обновление — через безопасный refresh‑поток.
Независимо от хранения, сокращайте время жизни access token: чем короче TTL, тем меньше ущерб при компрометации.

Access и Refresh токены: сценарии, сроки, отзыв

Access token и refresh token используют парой, потому что они решают разные задачи безопасности и удобства.

Зачем разделяют access token и refresh token

Access token нужен для доступа к API «прямо сейчас». Если его украдут, злоумышленник получит доступ на время жизни токена.

Refresh token служит только для получения нового access token. Он не должен давать доступ к данным напрямую — только к эндпоинту обновления. Так можно сделать access token короткоживущим, не заставляя пользователя постоянно логиниться.

Сроки жизни: короткий access и более долгий refresh

Типичный подход:

access token: 5–15 минут (иногда до часа)
refresh token: несколько дней или недель

Ротация refresh token и защита от повторного использования

Хорошая практика — ротация refresh token: при каждом обновлении выдаёте новый refresh token, а старый делаете недействительным.

Если старый refresh token внезапно пришёл второй раз — это сигнал компрометации. Частая реакция: инвалидировать текущую цепочку refresh‑токенов и попросить заново войти.

Отзыв токенов: где нужна серверная «память»

JWT удобно проверять без состояния, но отзыв (logout, смена пароля, блокировка аккаунта, утечка) почти всегда требует серверной памяти:

blacklist: храните запрещённые jti/версии сессии до истечения срока
allowlist: храните активные refresh token и проверяйте, что предъявленный токен всё ещё разрешён

На практике чаще контролируют именно refresh token (а access просто коротко живёт).

Что делать при утечке: быстрые меры

Немедленно инвалидируйте refresh token (и цепочку при ротации).
При необходимости — принудительно разлогиньте пользователя на всех устройствах.
Сократите TTL access token на время расследования и проверьте журналы активности.
Пересмотрите место хранения токенов и политику обновления.

JWT в OAuth 2.0 и OpenID Connect: что важно не перепутать

OAuth 2.0 и OpenID Connect (OIDC) часто упоминают рядом с JWT, поэтому создаётся ощущение, будто «OAuth = JWT». Это не так:

OAuth 2.0 — про делегирование доступа (какое приложение может сделать какие действия)
OIDC — надстройка про вход пользователя (кто именно вошёл)
JWT — удобный формат токена, который иногда используется внутри этих протоколов

Если хочется быстро разложить всё по полочкам, полезно сначала освежить базу: /blog/oauth2-oidc-osnovy.

Где JWT встречается в OAuth 2.0 и OIDC

В OAuth 2.0 формат access token не строго задан: провайдер может выдавать как JWT, так и «непрозрачную» строку (opaque token), которую нужно проверять через сервер провайдера.

В OIDC, наоборот, ID Token почти всегда является JWT, потому что его задача — переносить claims о факте аутентификации.

ID Token vs Access Token: разные цели

ID Token нужен клиентскому приложению, чтобы понять «кто пользователь» и как он прошёл вход. Его аудитория — client.

Access Token нужен, чтобы обратиться к API. Его аудитория — ресурсный сервер (API).

Правило: не используйте ID Token для вызовов API и не принимайте его на бэкенде как замену access token.

Scopes и claims: как связаны ограничения

Scopes в OAuth описывают, какие действия разрешены (например, read:orders). Claims в JWT — какой контекст передан (например, sub, aud, iss, иногда роли).

Частая ошибка — пытаться «кодировать права» только через claims, игнорируя scopes и серверную проверку разрешений.

Когда лучше не писать самому

Если вы используете OAuth 2.0/OIDC, почти всегда выгоднее опираться на готовую библиотеку и/или провайдера: они уже корректно реализуют проверку iss/aud/exp, обработку ключей (JWKS), ротацию и особенности потоков.

Самописная реализация обычно ломается на мелочах — и именно эти мелочи становятся уязвимостями.

Типичные ошибки и уязвимости при работе с JWT

Экспортируйте исходники

Заберите исходный код проекта и развивайте его в своей инфраструктуре.

Экспортировать

Большинство проблем возникает не из-за формата JWT, а из-за неверной валидации и операционных решений.

«alg=none» и подмена алгоритма

Классическая уязвимость: злоумышленник меняет заголовок токена, подставляя "alg": "none" (или другой неожиданный алгоритм), и рассчитывает, что сервер перестанет проверять подпись.

Защита: сервер должен жёстко ограничивать список допустимых алгоритмов (allowlist) и выбирать алгоритм из конфигурации, а не доверять значению из header.

Слабые секреты в HS256

Если секрет короткий или предсказуемый, его могут подобрать перебором — и тогда можно выпускать «валидные» токены с любыми правами.

Что делать: используйте длинные случайные секреты (например, 32+ байта), храните их в менеджере секретов, регулярно ротируйте и разделяйте ключи между окружениями.

Слишком большой payload

Чем больше данных в токене, тем выше риск утечки и накладные расходы. Проблемы обычно проявляются в:

логах (токены попадают в access‑логи, трассировки, ошибки)
лимитах заголовков (ограничения размера у прокси и серверов)

Храните в токене минимум: идентификатор пользователя, сроки (exp) и нужные технические поля.

Нет проверки `aud` и `iss`

Если не проверять iss и aud, API может принять «чужой» токен — например, выпущенный другим сервисом или для другого приложения.

Правило: всегда валидируйте iss, aud, сроки (exp, опционально nbf) и корректность подписи.

Долгоживущие токены без отзыва

Если access‑токен живёт неделю, а его украли — злоумышленник получает неделю доступа.

Практика: делайте короткоживущий access token и отдельный refresh token с возможностью отзыва (хранилище активных refresh‑токенов, ротация, привязка к устройству).

Практический чек-лист: как внедрять JWT безопасно

JWT удобен, но безопасность здесь — это не «включили библиотеку и забыли». Ниже — набор шагов, который помогает избежать типовых ошибок при внедрении.

Мини‑чек‑лист внедрения

Выберите алгоритм и ключи осознанно

Для одного сервиса может подойти HS256, но секрет должен храниться как продакшн‑критичный (ротация, ограниченный доступ).
Для распределённых систем обычно лучше RS256/ES256: приватный ключ подписывает, публичный проверяет.

Обязательные сроки жизни и проверки

Всегда ставьте exp (короткий срок для access‑токена).
Проверяйте iss и aud.
Обрабатывайте nbf/iat аккуратно, учитывая небольшой сдвиг времени.

Хранение на клиенте — выберите компромисс

Для браузера часто безопаснее HttpOnly Secure cookie, но нужно правильно настроить SameSite и CSRF‑защиту.
localStorage проще, но повышает последствия XSS. Если выбираете этот путь — усиливайте Content Security Policy и аудит фронтенда.

Payload: размер и состав

Держите payload минимальным: идентификатор пользователя, технические поля (iss/aud/exp) и, при необходимости, компактные права (scope/роль). Не кладите туда персональные данные и секреты: payload легко читается.

Безопасная отладка

Не копируйте токены в публичные чаты, тикеты и скриншоты. Для диагностики делайте «красные» логи: маскируйте середину токена, оставляя первые/последние символы, и используйте стенд с тестовыми ключами.

Мониторинг и аудит

Логируйте события: выпуск токена, обновление, отказ валидации (истёк, неверная подпись, не тот aud/iss), подозрительную частоту запросов, смену ключей.

Как ускорить внедрение в прикладном проекте

Если вы делаете продукт «с нуля» и вам важно быстро собрать рабочий прототип с нормальной архитектурой (React на фронте, Go + PostgreSQL на бэкенде, а при необходимости — Flutter для мобильного клиента), удобно, когда каркас приложения и типовые модули появляются за часы, а не недели.

TakProsto.AI как раз про это: вы описываете требования в чате, платформа собирает приложение и помогает итеративно довести авторизацию до продакшн‑уровня — с учётом сроков жизни токенов, проверок iss/aud, refresh‑механики и сценариев отката через snapshots/rollback. Плюс для российского рынка критично, что платформа работает на серверах в России и использует локализованные/opensource LLM‑модели без отправки данных за рубеж.

Если вы выбираете тариф/уровень API‑доступа и хотите включить расширенные лимиты/журналы безопасности, можно добавить внутреннюю справку на странице /pricing.

FAQ

Что такое JWT и зачем он нужен?

JWT (JSON Web Token) — это компактный токен в виде строки, который сервер выдаёт после успешного входа. Клиент затем прикладывает его к каждому запросу (часто в Authorization: Bearer <token>), чтобы сервер понял, кто делает запрос и что ему можно.

JWT удобен тем, что сервер обычно проверяет подпись и сроки токена без хранения «сессии» в классическом виде.

Как выглядит типичный поток работы с JWT (логин → токен → запросы)?

Чаще всего после успешной аутентификации (пароль, код, соцсети и т. п.) сервер выдаёт JWT. Затем клиент отправляет его в каждом запросе к API.

Обычно схема такая:

логин → сервер проверил данные
сервер выдал JWT
клиент хранит токен
клиент отправляет токен с запросами
сервер валидирует токен и решает, давать ли доступ

Чем аутентификация отличается от авторизации и где тут JWT?

Аутентификация отвечает на вопрос «кто вы?» (доказательство личности). Авторизация отвечает на вопрос «что вам можно?» (права доступа).

JWT обычно переносит результат входа дальше: в токене могут быть sub (кто вы) и роли/права (что можно), чтобы API мог принимать решение при каждом запросе.

Из чего состоит JWT и что означают три части?

JWT обычно состоит из трёх частей: header.payload.signature.

Какие claims в JWT важнее всего и что туда не стоит класть?

Минимально полезные и часто обязательные поля:

exp — когда токен истекает
sub — стабильный идентификатор пользователя
iss — кто выпустил токен
aud — для какого сервиса/API токен предназначен

Дополнительно часто встречаются , , , . Не кладите в секреты и лишние персональные данные — его легко декодировать.

Как сервер должен проверять JWT, чтобы это было безопасно?

Сервер не должен доверять данным из payload, пока не выполнит строгую валидацию:

проверить подпись корректным ключом и разрешённым алгоритмом
проверить (и при необходимости ) с учётом допустимого clock skew

JWT лучше сессий и cookies или просто другой подход?

Сессии обычно хранят состояние на сервере (например, запись в Redis/БД), а в cookie лежит только идентификатор сессии. Это облегчает отзыв: удалили запись — доступ пропал.

JWT чаще «самодостаточен»: сервер проверяет подпись и сроки без хранилища сессий. Это удобно для API/микросервисов, но отзыв сложнее: токен будет валиден до exp, если не добавлять механизм отзыва.

Где безопаснее хранить JWT в браузере: cookie, memory или localStorage?

Коротко по популярным вариантам:

HttpOnly cookie: токен не доступен JS → меньше ущерб от XSS; но cookie уходит автоматически → нужен контроль CSRF (например, SameSite, CSRF-токен, Secure).
In-memory: не переживает перезагрузку → меньше «долгой жизни» украденного токена; но нужен refresh-механизм.
: просто и переживает перезагрузку; но при XSS токен легко украсть.

Зачем нужны access и refresh токены и как их правильно обновлять?

Access token нужен для вызовов API и обычно живёт недолго (часто минуты). Refresh token нужен, чтобы получать новый access token без повторного логина и живёт дольше.

Практичные правила:

делайте access токены короткоживущими
refresh токены храните и проверяйте на сервере (allowlist) и/или используйте ротацию
при ротации: выдали новый refresh → старый сразу инвалидировали; повторное использование старого — сигнал компрометации

Какие типичные ошибки при работе с JWT встречаются чаще всего?

Частые ошибки, которые реально приводят к уязвимостям:

доверять alg из заголовка и не ограничивать алгоритмы (allowlist)
слабый секрет при HS256 (подбор → выпуск фальшивых токенов)
не проверять и (API принимает токен «не оттуда» или «не для него»)

iat

nbf

scope

jti

payload

exp

nbf/iat

iss

aud