RESTベースのアプリケーションのJWT認証のエンタープライズパターン？

JWT（ Intro to JSON Web Token ）は単なるトークン形式であり、認証はその仕様の範囲から完全に外れたものです。これは確かに認証システム内で一般的に使用されていますが、完全に異なるシナリオで使用することもできるため、その仕様に認証固有の制約を含めないことは理にかなっています。

認証に関するガイダンスを探している場合は、 OpenID Connect ファミリーの仕様を参照してください。さらに、システムがHTTP APIで構成されており、それらのAPIへの委任アクセスを独自のアプリケーションまたはサードパーティのクライアントアプリケーションに提供することに関心がある場合は、 OAuth 2. 仕様を参照する必要があります。

SAMLやWS-Federationのような認証関連のプロトコルが他にもありますが、エンタープライズシナリオではまだ広く使用されていますが、実装が非常に複雑です。

特定のオープンポイントについて：

• ベアラートークン認証方式は、RFC 675 で定義されています。これには、要求の実行方法と考えられるエラーコードが含まれています。
• OAuth2とOpenID Connectはどちらも可能性を考慮しており、ユーザー名/パスワードをトークンと交換する方法を定義しています。
• 自己完結型/値によるトークン （JWT）の存続期間を延長する問題は、OpenID ConnectおよびOAuth2内で リフレッシュトークン を使用して対処されます。

OAuth2とOpenID Connectは、以前のバージョンよりも実装が簡単であるように見えますが、かなり複雑なので、ある程度の注意が必要であり、かなりの時間とリソースを費やす気がある場合にのみ自分で実装します。これは、通常、負荷のかかるサードパーティのライブラリまたはサービスを使用する方が適切なオプションです。

最後に、これらのプロトコルは多くのシナリオをカバーしているため、状況によってはやり過ぎになる場合があります。

キープアライブチャネルは必要ないと思います。ペイロードには、ログイン時にトークンが生成されたときにサーバーによって（expキーに standard で）提供される有効期限情報を含めることができます（推奨されます）。有効期限が切れたトークンが使用された場合（これは明らかにサーバーによって決定され、署名が検証された場合にのみトークンの内容を信頼します）、サーバーは単にHTTP 401でそれを拒否し、クライアントに再認証を促します。

一方、クライアントはプロアクティブになることができます。ペイロードセクションは暗号化されていません。クライアントはそれを読み取ることができるため、クライアントはリクエストが期限切れのトークンで送信される時期を確認できるため、トークンが期限切れの場合は/loginを再度呼び出します。

または、RESTを使用すると、ハイパーメディア情報を「状態のエンジン」として送信できます。したがって、必要に応じて、実際にJWTを1回限りの使用で、有効期限も指定できます。次に、すべてのリクエストが新しいJWTを生成します。これは hapi-auth-jwt2 の場合と同様に、コンテンツ内、またはより可能性の高い応答ヘッダー内のいずれかで、クライアントへの応答で返されます。