كيف تعمل رموز JSON Web Tokens دون أن تخفي محتواها

يكتنف رموز JWT سوء فهم شائع: كثيرون يظنّون أن محتواها مخفيّ أو مشفّر. الحقيقة عكس ذلك تمامًا. فرمز JWT مقروء لأيّ شخص يملكه، وحمولته معروضة لا مستترة. قيمته الحقيقية ليست في إخفاء البيانات، بل في إثبات أنها لم تُعدَّل وأنها صدرت من جهة موثوقة. فهم هذا التمييز بين السرّية والسلامة هو مفتاح استعمال هذه الرموز استعمالًا صحيحًا وآمنًا.

ثلاثة أجزاء تصنع الرمز

يتكوّن رمز JWT من ثلاثة أجزاء تفصلها نقاط: الترويسة، والحمولة، والتوقيع. الترويسة تصف نوع الرمز وخوارزمية التوقيع المستعملة. والحمولة تحمل الادّعاءات، أي المعلومات التي يؤكّدها الرمز عن صاحبه. والتوقيع يربط الجزأين الأولين بمفتاح سرّي بحيث لا يمكن تعديلهما دون كشف ذلك.

يُرمَّز كل من الترويسة والحمولة بـ Base64URL، وهو ترميز لا تعمية. أيّ شخص يستطيع فكّ هذا الترميز وقراءة المحتوى. لذا فإن الرمز شفّاف بطبيعته، والتوقيع وحده هو ما يمنحه قيمته الأمنية.

الادّعاءات: ما يؤكّده الرمز

الحمولة مجموعة من الادّعاءات، وكلّ ادّعاء جملة يؤكّدها مُصدِر الرمز. بعض الادّعاءات قياسية، مثل من أصدر الرمز، ومن هو موجَّه إليه، ومتى ينتهي. وبعضها مخصّص يحمل معلومات يحتاجها التطبيق مثل هوية المستخدم أو صلاحياته.

المهمّ إدراك أن هذه الادّعاءات معروضة للقراءة. لذا لا ينبغي وضع أيّ بيانات حسّاسة فيها، لأن وضعها هناك يساوي نشرها. الرمز يثبت أن هذه الادّعاءات لم تُزوَّر، لكنه لا يخفيها عن من يحمله.

التوقيع هو جوهر الأمان

التوقيع هو ما يحوّل نصًّا مقروءًا إلى رمز جدير بالثقة. يُحسَب التوقيع من الترويسة والحمولة باستعمال مفتاح سرّي أو زوج مفاتيح. وأيّ تعديل ولو بحرف واحد في الترويسة أو الحمولة يجعل التوقيع غير مطابق، فيُكشَف التلاعب فورًا عند التحقّق.

هذا يعني أن الخادم يستطيع الوثوق بمحتوى الرمز دون الحاجة إلى تخزينه. فبدل البحث عن جلسة في قاعدة بيانات، يكفي التحقّق من التوقيع للتأكّد من أن الرمز صادر منه ولم يُعدَّل. هنا تكمن قوّة النموذج: الثقة قائمة على التحقّق الرياضي لا على التخزين.

التوقيع المتماثل وغير المتماثل

هناك أسلوبان لتوقيع الرموز. في الأسلوب المتماثل يُستعمل المفتاح السرّي نفسه للتوقيع والتحقّق، وهو مناسب حين تكون الجهة المُصدِرة والمتحقّقة واحدة. أما في الأسلوب غير المتماثل فيُستعمل مفتاح خاصّ للتوقيع ومفتاح عامّ للتحقّق، فيستطيع أيّ طرف التحقّق دون أن يملك القدرة على إصدار رموز.

اختيار الأسلوب قرار معماري. فحين تتحقّق خدمات متعدّدة من رموز أصدرتها جهة واحدة، يكون الأسلوب غير المتماثل أنسب، لأنه يوزّع القدرة على التحقّق دون توزيع القدرة على الإصدار. أما داخل نظام واحد فقد يكفي الأسلوب المتماثل بسهولته.

دورة حياة الرمز

للرمز عمر محدود يحدّده ادّعاء الانتهاء. هذا العمر القصير ضروري لأن الرمز، بمجرّد إصداره، صالح إلى أن ينتهي، ولا توجد آلية بسيطة لإبطاله مبكّرًا. فإذا سُرق رمز طويل العمر، بقي صالحًا في يد المهاجم حتى ينتهي.

لهذا تعتمد الأنظمة العملية على رموز قصيرة العمر يصاحبها آلية لتجديدها. فالرمز الرئيسي يعيش دقائق، ويُجدَّد عبر مسار منفصل أكثر تحكّمًا. هذا التوازن بين سهولة التحقّق ومحدودية الضرر عند التسريب هو جوهر التصميم السليم.

رمز الوصول ورمز التجديد

لا تكتمل صورة النموذج بفهم رمز واحد، بل برمزين يعملان معًا في الأنظمة الناضجة. رمز الوصول قصير العمر يُرسَل مع كل طلب ويُتحقَّق منه محلّيًّا، بينما رمز التجديد أطول عمرًا ويُحفَظ بعناية أكبر ويُستعمل فقط لإصدار رموز وصول جديدة حين تنتهي. هذا الفصل يجمع بين سرعة التحقّق ومحدودية الضرر عند التسريب.

الفكرة أن رمز الوصول لو سُرق فلن يبقى صالحًا إلا دقائق، بينما رمز التجديد الأثمن لا يسافر مع كل طلب ولا يتعرّض إلا في مسار واحد محكوم. وهذا المسار المنفصل قابل للمراقبة والإيقاف، فيمكن للنظام أن يلاحظ نمطًا مريبًا في التجديد ويقطعه دون أن يلمس بقية البنية.

غير أن هذا التصميم يضيف مسؤوليات: أين يُخزَّن كل رمز، وكيف يُجدَّد بأمان، وماذا يحدث حين يُستعمل رمز تجديد مرتين. كثير من الأنظمة تعتمد تدوير رموز التجديد، بحيث يُبطَل الرمز القديم فور استعماله ويُصدَر بديل، فتُكشَف محاولة إعادة الاستعمال فورًا. هذه التفاصيل هي ما يفصل تطبيقًا آمنًا عن آخر هشّ يحمل الاسم نفسه.

ويستحقّ ضبط أعمار الرمزين تفكيرًا واعيًا لا أرقامًا اعتباطية. فعمر رمز الوصول يوازن بين راحة المستخدم وحجم الضرر عند التسريب؛ كلما قصُر قلّ الخطر وزاد عبء التجديد. أما عمر رمز التجديد فيحدّد كم تطول الجلسة قبل أن يُطالَب المستخدم بإعادة المصادقة كاملة. والقرار الصائب يأتي من فهم حساسية التطبيق وعاداته: فتطبيق مصرفيّ يميل إلى أعمار قصيرة صارمة، بينما تطبيق ترفيهيّ يحتمل جلسات أطول مقابل تجربة أسلس. لا توجد قيمة مثلى واحدة، بل مقايضة تُحسَم بحسب ما تحميه. ومن المفيد أن تراقب أثر هذه الأعمار على المستخدمين الفعليين بعد الإطلاق، فقد يكشف الاستعمال الواقعيّ أن عمرًا اخترته نظريًّا يرهق الناس بإعادة دخول متكرّرة، أو على العكس يطيل نافذة الخطر أكثر مما توقّعت، فتعدّله على بيّنة لا على تخمين.

متى يكون النموذج مناسبًا

تتألّق رموز JWT حين تحتاج إلى تحقّق لا مركزي وقابل للتوسّع. فبدل أن يرجع كل طلب إلى مخزن جلسات مركزي، يحمل الرمز معلوماته بنفسه ويتحقّق منه أيّ خادم محلّيًّا. هذا يقلّل الاعتماد على حالة مشتركة ويسهّل التوسّع الأفقي.

لكن هذه الميزة نفسها هي مصدر قيوده: الشفافية، وصعوبة الإبطال المبكّر، والحاجة إلى إدارة دقيقة للأعمار والمفاتيح. حين تفهم أن قيمة JWT في السلامة القابلة للتحقّق لا في السرّية، تستعمله حيث يبرع وتتجنّبه حيث تحتاج إلى تحكّم لحظيّ كامل في الجلسات.