JWT нима
JWT учта қисмдан иборат: header, payload ва signature. Имзо токеннинг ҳақиқийлигини тасдиқлайди. Sayt.uz да JWT API аутентификацияси ва stateless сессиялар учун ишлатилади.
Имзо алгоритми
HS256 симметрик, RS256 асимметрик алгоритм. Sayt.uz тажрибасида микросервислар учун RS256 тавсия этилади, монолит иловалар учун HS256 етарли.
Ротация ва експирация
Махфий калит ҳар 90 кунда алмаштирилади, key versioning ишлатилади. Access token 15-60 дақиқа, refresh token 7-30 кун.
Sayt.uz амалиёт
Sayt.uz да access token 30 дақиқа, refresh token 7 кун, RS256 алгоритми. Калит AWS Secrets Manager да сақланади. Blacklist Redis да, logout да дарҳол қўшилади.