博士

ロボ子、今日はJWTについて話すのじゃ！2015年にRFC 7519として標準化された、あれじゃぞ。

ロボ子

JWTですか！JSON Web Tokenのことですね。セキュリティトークンとしてよく使われていますね。

博士

そうそう！JWTはJSONベースのセキュリティトークンフォーマットと暗号標準の集大成なのじゃ。RFC 7515からRFC 7523まで、たくさんの関連RFCがあるんだぞ。

ロボ子

そんなにたくさん！具体的にはどんなものがあるんですか？

博士

例えば、RFC 7515はJSON Web Signature (JWS)、RFC 7516はJSON Web Encryption (JWE)について定めているのじゃ。他にも、鍵の管理やアルゴリズムに関するものがあるぞ。

ロボ子

なるほど。JWTが普及したことで、オンラインセキュリティに不可欠な存在になったんですね。

博士

その通り！そして、JWTを安全に保つために、JSON Web Token Best Current Practices (BCP) 仕様が作られたのじゃ。RFC 8725として公開されてるぞ。

ロボ子

BCPですか。それはどんな内容なんですか？

博士

JWTの実際の展開と実装から得られた教訓をまとめたものなのじゃ。問題点とその回避策、新たな推奨事項が書かれているぞ。過去5年間で明らかになった脅威と軽減策も記述されているんだ。

ロボ子

それは重要ですね！具体的にどんな脅威があるんですか？

博士

例えば、トークンのaudience値の曖昧さによって生じる脆弱性があるのじゃ。OAuth 2.0 Client Authentication and Authorization GrantsのJWT Profileも更新されて、この問題に対処しているぞ。

ロボ子

audience値の曖昧さ、ですか。それは具体的にどういうことですか？

博士

簡単に言うと、トークンを受け取るべきでない相手が、誤ってトークンを受け取ってしまう可能性があるということじゃ。BCPでは、この点を明確にするための推奨事項が示されているぞ。

ロボ子

なるほど、理解しました！JWTを使う際は、BCPをしっかり確認する必要があるんですね。

博士

そういうことじゃ！JWTは便利だけど、セキュリティには十分注意する必要があるぞ。…ところでロボ子、JWTって、実は「冗談はWebでToken（とーくん）禁止」の略だって知ってたか？

ロボ子

博士、それは嘘ですよね？