JWT とは？初心者にもわかりやすい仕組みと実務での活用を解説

はじめに

プログラミング未経験の皆さんがウェブアプリケーションを作ろうとするとき、認証やセキュリティをどう実装すればいいかは大きな疑問ではないでしょうか。 認証と一口に言っても、クッキーやセッション管理など多様な手法があります。 その中で、近年よく耳にするのが JWT (JSON Web Token) です。 今回は、JWT とは具体的に何を指し、どのように活用されるのかを平易に紹介していきます。 初心者の方でも一歩ずつ理解を深められるように、手順を追って解説してみます。

JWT とは

JWT とは、JSON形式のデータをやり取りするトークンのひとつです。 API通信などでユーザーを認証するときに用いられ、セッション管理をサーバーに保存しなくても済むという特徴があります。 ウェブやモバイルアプリの認証、シングルサインオンなど、多様な場面で見かけます。 トークンは認証情報を含みますが、それ自体が署名されているため改ざんされにくい仕組みになっています。 JSON形式なので、人が読めるテキストで必要な情報を記述できるという点も扱いやすさにつながります。

JWTの仕組み

JWTを使う認証フローは、まずクライアントからログイン情報を送信するところから始まります。 サーバー側でログイン情報が正しいと判断されたら、ユーザー情報などの必要データを含んだJWTを発行します。 このトークンをクライアント側で保持し、以降のリクエストに付与することで認証済みかどうかを証明する仕組みです。

また、JWTは自分自身に署名が含まれています。 サーバーが持つ秘密鍵を使って署名を確認することで、トークンが不正に書き換えられていないかどうかを判定できます。 これにより、サーバーがセッション情報を管理しなくても改ざんを防止できるのが大きな特徴です。

JWTの構造

JWTは大きく3つの部分から構成されます。 ヘッダー部分にはアルゴリズムなどの情報が格納され、ペイロード部分には認証やユーザーに関する情報が記述されます。 最後に署名部分があり、改ざん防止の仕組みを担います。

具体的には以下のような文字列を “.”（ドット）で区切った形式をしています。 トークンの例を眺めてみると、英数字と記号が続く長い一行になっているはずです。 この長い文字列はBase64URL形式でエンコードされており、適切なツールを使えばJSON形式で確認できます。

JWTを利用する実務でのシーン

ウェブアプリケーションでは、APIリクエストを投げるたびに認証が必要なケースがあります。 その際にJWTをリクエストヘッダーに載せることで、サーバー側はユーザーが正当な権限を持っているかを判断します。 これにより、バックエンドにはセッションストアを用意しなくてもAPIの保護ができます。

また、マイクロサービスのような複数のサービスが連携する場合にも便利です。 一度認証されたJWTを各サービスに送るだけで、別々のサービス間で認証状態を共有できます。 フロントエンドがSPA（Single Page Application）の場合や、モバイルアプリでの認証にも使われ、サーバーレス環境との相性も良いとされています。

サーバーレス環境での活用

AWS LambdaやGoogle Cloud Functionsなどのサーバーレス環境を利用する際は、従来のセッション管理が難しくなることが多いです。 サービスを横断して認証情報を扱うので、一箇所でセッションを保持する仕組みよりも、各リクエストが自己完結しているトークンが便利になります。

JWTを用いれば、どの関数でも受け取ったトークンを検証するだけで認証の可否を判定可能です。 そのため、サーバーレスな認証をスケーラブルに実装しやすくなるのがメリットです。 一方で、トークンが長くなりがちなので、帯域への影響やセキュリティ上の管理には気を付ける必要があります。

JWTと他の認証手段の違い

クッキーとサーバーサイドセッションを使った認証方式では、サーバーがセッションデータを保存し、クッキーにセッションIDを付与します。 一方でJWTは、認証情報をサーバーで保持せず、署名付きのトークンをクライアントが所持するのが特徴です。

OAuthやOpenID Connectなど、ほかの仕組みでもトークンが扱われることがあります。 しかし、JWTはトークンの書式が標準化されており、署名によって改ざんを防止する点が明確に定義されています。

JWTはあくまで一つの手段に過ぎません。 利用する目的やシステム構成を考慮し、適材適所で使うことが大切です。

JWTのセキュリティ

JWTには署名が含まれているため、トークンの改ざんは比較的困難です。 しかし、トークン自体の盗難対策も重要ではないでしょうか。 もし第三者が有効なJWTを入手すれば、あたかも正規ユーザーであるかのように行動できてしまいます。

特にブラウザのローカルストレージに保存すると、XSS攻撃による窃取リスクが高まることがあります。 そのため、JWTをクライアントに保管するときは、JavaScriptからの参照を制限するHttpOnlyクッキーなどを検討することが多いです。

有効期限を設定して早めにトークンを無効化する方法や、必要に応じてトークンをリフレッシュする実装も検討してみるといいかもしれません。

JWTを使った実装例

ここでは簡単に、Node.jsとExpressでJWTを活用するイメージを示します。 認証APIを作成するとき、ログイン時にJWTを発行し、クライアントが保管したトークンを次のリクエストで送付する形をとります。

コピー
// ExpressでJWTを扱う一例
// このコードはあくまでサンプルです

const express = require("express");
const jwt = require("jsonwebtoken");
const app = express();

app.use(express.json());

// ログイン用のAPI例
app.post("/login", (req, res) => {
  const { username, password } = req.body;

  // 本来はDBのユーザー認証処理を行う
  if (username === "sampleUser" && password === "samplePass") {
    // トークンに埋め込む情報
    const payload = {
      user: username,
      role: "member"
    };

    // 秘密鍵を使ってトークンを生成
    const token = jwt.sign(payload, "SECRET_KEY", {
      expiresIn: "1h" // 期限を1時間に設定
    });

    return res.json({ token });
  }

  return res.status(401).json({ message: "認証エラー" });
});

// 認証が必要なAPI例
app.get("/profile", (req, res) => {
  const authHeader = req.headers.authorization;

  if (!authHeader) {
    return res.status(401).json({ message: "トークンが見つかりません" });
  }

  const token = authHeader.split(" ")[1];

  try {
    const decoded = jwt.verify(token, "SECRET_KEY");
    return res.json({ userData: decoded });
  } catch (err) {
    return res.status(401).json({ message: "トークンが無効です" });
  }
});

app.listen(3000, () => {
  console.log("Server is running on port 3000");
});

この例では、ログインが成功するとトークンを返し、以降はそのトークンを持って「Authorization」ヘッダーを付けてアクセスします。 サーバー側は署名を検証するだけで、そのトークンが正しいかどうかを判定可能です。 セッション管理のようにサーバー側でユーザーデータを保持しないため、拡張性のある認証システムを作りやすくなります。

まとめ

今回はJWT とは何かを中心に、具体的な構造や仕組み、実務での利用シーンを見てきました。 サーバーでセッションを管理しなくても認証を行える点が、JWTの大きな魅力です。 一方で、トークンの盗難対策や有効期限などに配慮しないと、予期せぬセキュリティリスクを招く可能性があります。 実際のプロジェクトで使う際は、JWTを含めた認証の要件をしっかりと洗い出し、システム全体の流れにあった手法を選択することが大切です。 ぜひ自分のアプリケーション構成と照らし合わせ、メリットと注意点の両面を考慮してみてはいかがでしょうか。