Клеймы JWT Справочник

Полный справочник по зарегистрированным клеймам JWT (JSON Web Token), клеймам OpenID Connect, кастомным клеймам, правилам валидации и лучшим практикам безопасности.

Зарегистрированные клеймы (RFC 7519)

Утверждение	Полное название	Описание	Пример	Статус
`iss` string (URI/StringOrURI)	Issuer	Identifies the principal that issued the JWT. Typically the auth server URL.	`"iss": "https://auth.example.com"`	Optional
`sub` string (StringOrURI)	Subject	Identifies the principal that is the subject of the JWT — usually the user ID.	`"sub": "user_123"`	Optional
`aud` string \| string[]	Audience	Identifies the recipients that the JWT is intended for. The API must check this.	`"aud": "https://api.example.com"`	Optional
`exp` NumericDate (Unix timestamp)	Expiration Time	The time after which the JWT MUST NOT be accepted. Critical for security.	`"exp": 1735689600`	Recommended
`nbf` NumericDate (Unix timestamp)	Not Before	The time before which the JWT MUST NOT be accepted. Useful for deferred activation.	`"nbf": 1735603200`	Optional
`iat` NumericDate (Unix timestamp)	Issued At	The time at which the JWT was issued. Used to determine the age of the token.	`"iat": 1735603200`	Optional
`jti` string (unique identifier)	JWT ID	Unique identifier for the JWT. Prevents token replay attacks when combined with a blocklist.	`"jti": "a1b2c3d4-e5f6-7890"`	Optional

Claims OpenID Connect

Утверждение	Полное название	Описание	Пример	Статус
`name` string	Full Name	End-user's full name in displayable form.	`"name": "Jane Doe"`	Optional
`given_name` string	Given Name	Given name(s) or first name of the end-user.	`"given_name": "Jane"`	Optional
`family_name` string	Family Name	Surname(s) or last name of the end-user.	`"family_name": "Doe"`	Optional
`email` string	Email Address	End-user's preferred email address.	`"email": "[email protected]"`	Optional
`email_verified` boolean	Email Verified	True if the end-user's email has been verified by the Provider.	`"email_verified": true`	Optional
`picture` string (URL)	Profile Picture URL	URL of the end-user's profile picture.	`"picture": "https://cdn.example.com/user/avatar.jpg"`	Optional
`locale` string (BCP 47)	Locale	End-user's locale as a BCP 47 language tag.	`"locale": "en-US"`	Optional
`zoneinfo` string (IANA tz)	Time Zone	End-user's time zone from the IANA Time Zone Database.	`"zoneinfo": "America/New_York"`	Optional
`updated_at` NumericDate	Profile Updated At	Time the end-user's information was last updated.	`"updated_at": 1700000000`	Optional
`nonce` string	Nonce	String value used to associate a Client session with an ID Token and to mitigate replay attacks.	`"nonce": "n-0S6_WzA2Mj"`	Optional
`at_hash` string (base64url)	Access Token Hash	Hash of the Access Token value. Used to validate the access_token.	`"at_hash": "77QmUPtjPfzWtF2AnpK9RQ"`	Optional
`auth_time` NumericDate	Authentication Time	Time when the end-user was authenticated.	`"auth_time": 1700000000`	Optional

Клеймы безопасности

Утверждение	Полное название	Описание	Пример	Статус
`scope` string (space-separated)	Scope	OAuth 2.0 scopes granted to the token. Defines what resources the token can access.	`"scope": "read:users write:profile"`	Optional
`roles` string[]	Roles	Non-standard but widely used. Application roles assigned to the user.	`"roles": ["admin", "editor"]`	Optional
`permissions` string[]	Permissions	Fine-grained permissions. Used by Auth0, AWS Cognito, and others.	`"permissions": ["delete:posts", "read:analytics"]`	Optional
`azp` string (client_id)	Authorized Party	The client_id of the OAuth 2.0 Client that requested the token. Used with OIDC.	`"azp": "my-spa-client-id"`	Optional
`acr` string	Authentication Context Class Reference	Level of authentication that occurred. Values defined by the deployment.	`"acr": "urn:mace:incommon:iap:silver"`	Optional
`amr` string[]	Authentication Methods References	How the user was authenticated (password, OTP, biometric, etc.).	`"amr": ["pwd", "otp"]`	Optional

Утверждение	Полное название	Описание	Пример	Статус
`tenant_id` string	Tenant ID (custom)	Multi-tenant app custom claim. Identifies the tenant/organization.	`"tenant_id": "acme-corp"`	Optional
`org_id` string	Organization ID (custom)	Organization identifier used by Auth0, WorkOS, and similar platforms.	`"org_id": "org_12345"`	Optional
`plan` string	Subscription Plan (custom)	User's subscription tier. Common in SaaS billing-based access control.	`"plan": "enterprise"`	Optional

Правила валидации

Утверждение	Полное название	Описание	Пример	Статус
`Verify exp` Rule	Expiration Check	Reject any token where exp < current time (in UTC seconds). Add small clock skew (30–60s).	`if (payload.exp < Date.now() / 1000) throw Error('Expired')`	Required
`Verify iss` Rule	Issuer Check	Must exactly match the expected issuer URL. Reject mismatches.	`if (payload.iss !== "https://auth.example.com") throw Error()`	Required
`Verify aud` Rule	Audience Check	Must contain your API's identifier. Reject tokens issued for other audiences.	`if (!payload.aud.includes("api.example.com")) throw Error()`	Required
`Verify signature` Rule	Signature Verification	NEVER trust a JWT without verifying its cryptographic signature using the correct key/JWKS.	`Use jsonwebtoken.verify() or jose library`	Required
`Check nbf` Rule	Not Before Check	If nbf is present, reject tokens used before this time.	`if (payload.nbf && payload.nbf > Date.now() / 1000) throw Error()`	Recommended
`Check alg` Rule	Algorithm Check	Explicitly specify expected algorithm. Reject 'none' algorithm. Prefer RS256 or ES256 over HS256 for public APIs.	`{ algorithms: ['RS256'] } in verify options`	Required

Алгоритмы подписи

Утверждение	Полное название	Описание	Пример	Статус
`HS256` Symmetric (shared secret)	HMAC-SHA256	Fast; uses a single shared secret for sign & verify. Only suitable when both parties are trusted (e.g., server-to-server).	`"alg": "HS256"`	Optional
`HS512` Symmetric (shared secret)	HMAC-SHA512	Like HS256 but with 512-bit hash output. Marginally stronger for symmetric use cases.	`"alg": "HS512"`	Optional
`RS256` Asymmetric (RSA 2048+)	RSA-PKCS1v15-SHA256	Most widely supported asymmetric algorithm. Sign with private key, verify with public key. Use this for public APIs and OIDC.	`"alg": "RS256"`	Recommended
`RS512` Asymmetric (RSA 2048+)	RSA-PKCS1v15-SHA512	RS256 with SHA-512. Stronger hash but same RSA security level. Marginally slower.	`"alg": "RS512"`	Optional
`ES256` Asymmetric (EC P-256)	ECDSA with P-256 + SHA-256	Compact, fast asymmetric algorithm. Smaller keys than RSA for equivalent security. Recommended for new systems.	`"alg": "ES256"`	Recommended
`PS256` Asymmetric (RSA + PSS)	RSASSA-PSS with SHA-256	More secure padding than RS256 (probabilistic). Required by FAPI (Financial-grade API) and advanced OIDC profiles.	`"alg": "PS256"`	Optional
`EdDSA` Asymmetric (Edwards-curve)	Ed25519 / Ed448	Modern elliptic curve algorithm. Fastest, smallest signatures. Use with jose library. Not universally supported yet.	`"alg": "EdDSA"`	Optional

Анатомия JWT

JWT состоит из трёх частей в кодировке Base64URL, разделённых точками: Заголовок.Полезная нагрузка.Подпись

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwczovL2F1dGguZXhhbXBsZS5jb20iLCJzdWIiOiJ1c2VyXzEyMyIsImF1ZCI6Imh0dHBzOi8vYXBpLmV4YW1wbGUuY29tIiwiZXhwIjoxNzM1Njg5NjAwLCJpYXQiOjE3MzU2MDMyMDAsInNjb3BlIjoicmVhZDp1c2VycyJ9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Алгоритм

alg: RS256

Алгоритм и тип токена

Тип

typ: JWT

Клеймы — данные

Эмитент

iss: https://auth.example.com

Криптографическая верификация

Субъект

sub: user_123

Аудитория

aud: myapp

Истечение

exp: 1735689600

Время выдачи

iat: 1735686000

Контрольный список безопасности JWT

критическийВалидировать подпись перед доверием любому клейму

критическийПроверять клейм exp — отклонять истекшие токены

highПроверять, что клейм iss соответствует ожидаемому эмитенту

highПроверять, что клейм aud соответствует вашему приложению

highИспользовать RS256 или ES256, а не HS256 в многосторонних системах

mediumНикогда не хранить конфиденциальные данные (пароли, персональные данные) в пейлоаде JWT

mediumРеализовать отзыв токена или использовать короткие сроки exp

highДержите exp коротким (15-60 мин) и используйте refresh-токены для длинных сессий

mediumНикогда не помещайте конфиденциальные данные в JWT payload — он закодирован в Base64, а не зашифрован

mediumИспользуйте jti + серверный блок-лист для отзыва токенов при необходимости

Связанные инструменты

Попробуйте наш Кодировщик/Декодировщик JWT для кодирования/декодирования JWT-токенов

Часто задаваемые вопросы

В чём разница между exp, nbf и iat?

exp (время истечения) — это момент, когда токен истекает, и он не должен приниматься после этого времени. nbf (не раньше) — это момент, когда токен становится действительным, и он не должен приниматься до этого времени. iat (время выдачи) фиксирует, когда токен был выдан — полезно для определения возраста токена. Все три используют формат NumericDate (секунды с Unix epoch).

Как долго должны быть действительны JWT-токены?

Access-токены должны быть краткосрочными: 5-60 минут для большинства приложений, 1-24 часа для API. Refresh-токены могут быть длиннее: дни или недели. Короткий срок действия ограничивает ущерб от кражи токена. Никогда не храните конфиденциальные данные в JWT-пейлоадах, так как они закодированы в base64url (не зашифрованы) и могут быть декодированы кем угодно.

Для чего используется клейм sub?

sub (субъект) идентифицирует принципал (как правило, ID пользователя), о котором говорится в JWT. Он должен быть уникальным в контексте эмитента. Используйте стабильный, не переназначаемый идентификатор (например, UUID или числовой ID), а не имя пользователя или email, которые могут измениться.

Следует ли включать роли пользователей в клеймы JWT?

Да, для stateless-авторизации. Включайте роли/разрешения в кастомные клеймы (например, 'roles': ['admin', 'user']). Однако держите токены лёгкими — не включайте всё подряд. Для детализированных разрешений рассмотрите паттерн reference token, где JWT содержит ID сессии, а разрешения запрашиваются на стороне сервера.