Base64URL nie je nový spôsob ochrany dát. Používa rovnaké delenie bajtov na šesťbitové skupiny ako klasické Base64. Mení iba znaky, ktoré sa v URL, formulároch a názvoch ciest stretávajú s inou syntaxou. Práve tento malý rozdiel však rozhoduje o tom, či hodnotu po ceste nezmení router, query parser alebo framework. Variant preto nie je kozmetická voľba, ale súčasť protokolovej zmluvy.
Plus a lomka majú na webe vlastnú prácu
Štandardná abeceda používa znaky + a /, pričom = slúži ako padding. Lomka oddeľuje segmenty cesty. Plus sa pri form-urlencoded spracovaní môže zmeniť na medzeru a rovná sa oddeľuje meno parametra od hodnoty.
Percent-encoding vie tieto znaky zachovať, ale pridá ďalšiu vrstvu a predĺži reťazec. Base64URL nahrádza plus mínusom a lomku podčiarkovníkom. Mnohé špecifikácie zároveň vyžadujú tvar bez paddingu.
Rozdiel sa neukáže na každom príklade
Písmená aj číslice majú v oboch abecedách rovnaké pozície. Jednoduché testovacie slovo preto môže vytvoriť identický výstup a chybný helper vyzerá správne. Odlišnosť sa prejaví až vtedy, keď šesťbitová skupina zodpovedá posledným dvom symbolom abecedy.
Testy musia zámerne vytvoriť +, /, - a _, a tiež vstupy s jedným, dvoma a žiadnym padding znakom. Iba happy-path ASCII text nestačí.
Padding ovplyvňuje identitu textu
Klasický zápis zvyčajne dopĺňa dĺžku na násobok štyroch. Pri Base64URL sa rovná sa často vynecháva a dekodér ho dopočíta podľa zvyšku dĺžky. Rovnaké bajty tak môžu mať padded aj unpadded podobu.
Ak sa text používa ako databázový kľúč, cache key alebo vstup podpisu, tieto podoby nie sú zameniteľné. Producent má vždy emitovať jeden kanonický formát a príjemca presne vedieť, ktoré alternatívy smie akceptovať.
JWT používa Base64URL, nie obyčajné Base64
JSON Web Token má tri segmenty oddelené bodkami. Header, payload aj signature sú zapísané Base64URL bez bežného paddingu. Reťazec sa preto dobre prenáša v HTTP hlavičke alebo cookie a jeho segmenty nerozbíja lomka.
Claims nie sú šifrované. Každý držiteľ vie prvé dve časti dekódovať. Podpis chráni presnú reprezentáciu pred zmenou; utajenie vyžaduje iný formát a správu kľúčov.
Podpis sa viaže na pôvodné znaky
JWT podpis počíta nad encoded headerom, bodkou a encoded payloadom. Ak verifier JSON dekóduje, zmení poradie properties, odstráni whitespace a znovu ho serializuje, vytvorí iný text. Aj doplnenie paddingu mení podpísaný vstup.
Overovanie preto používa pôvodné segmenty prijatého tokenu a pravidlá konkrétnej špecifikácie. Kanonizácia bajtovej identity nesmie prepísať reprezentáciu, ktorá tvorí kryptografický dôkaz.
URL-safe neznamená secret-safe
Token v query parametri sa môže dostať do browser history, access logu, analytiky, screenshotu a Referer hlavičky. Bezproblémová abeceda iba zabráni syntaktickej kolízii. Neurčuje bezpečný transport ani dobu platnosti credentialu.
Citlivý bearer token patrí do vhodnej hlavičky alebo chránenej cookie podľa architektúry. Má mať obmedzenú životnosť a logy ho musia redigovať. Base64URL nepridáva oprávnenie ani šifrovanie.
Každá vrstva môže URL normalizovať inak
CDN, web server, framework a router nemusia spracúvať percentá, plus a lomky v rovnakom poradí. Hodnota, ktorá bola u klienta validná, môže do aplikácie prísť s medzerou alebo po dvojitom decode. Lokálny test samotnej utility túto cestu neodhalí.
Integračný test má prejsť reálnou proxy infraštruktúrou a porovnať odoslaný request target, raw serverovú podobu, parsovaný parameter a vstup do Base64URL dekodéra.
Tolerantná oprava môže skryť poškodenie
Bežná implementácia nahradí mínus a podčiarkovník, dopočíta padding a použije štandardný dekodér. To je korektné, ak najprv overí povolenú abecedu a dĺžku. Odstrániť ľubovoľné cudzie znaky a skúsiť dekódovanie vytvára nejednoznačný parser.
Neplatný vstup má byť odmietnutý s jasným typom chyby. Kompatibilná normalizácia smie existovať iba na jednej zdokumentovanej hranici, inak každá vrstva opraví hodnotu inak.
Kanonická podoba znižuje duplicity
Po úspešnom overení môže služba pre bežné uloženie znovu vytvoriť jeden povolený Base64URL tvar. Padded a unpadded vstup potom nevytvoria dve databázové identity alebo dve cache entries. Pôvodný string sa osobitne zachová iba tam, kde je potrebný pre audit či podpis.
Model má rozlišovať rovnosť dekódovaných bajtov od rovnosti prijatej správy. Sú to dve odlišné otázky, ktoré nemožno vyriešiť jedným automatickým prepisom.
Object keys a názvy súborov majú ďalšie pravidlá
Odstránenie lomky pomáha pri použití hodnoty v object storage alebo názve súboru, no nerieši všetky obmedzenia platformy. Stále platí maximálna dĺžka, case sensitivity, rezervované mená a spôsob normalizácie. Base64URL je vhodná abeceda, nie univerzálna záruka prenositeľnosti. Pre content hash môže byť dlhší hexadecimálny zápis prevádzkovo čitateľnejší a jednoduchší pri ručnej diagnostike.
Migrácia musí rátať so starými klientmi
Pri prechode existujúceho API zo štandardného Base64 na Base64URL sa uložené hodnoty ani SDK nezmenia naraz. Server môže počas obmedzeného obdobia prijímať oba presne validované tvary, merať používanie a vždy vracať nový kanonický formát.
Transformovať sa smie len pole so známou semantikou. Globálna náhrada plusov, lomiek či podčiarkovníkov v neznámych stringoch môže poškodiť úplne iné dáta.
Správny variant určuje okolité rozhranie
Štandardné Base64 zostáva vhodné pre MIME, PEM a mnoho JSON polí. Base64URL patrí do JWT a protokolov, ktoré ho výslovne definujú pre web-safe prenos. Ani jeden variant nemá vyššiu kryptografickú silu.
Interoperabilitu zabezpečí presná dohoda o abecede, paddingu, validácii a kanonickom výstupe. Niekoľko zmenených symbolov je dôležitých preto, že po ceste existujú parsery s vlastnými pravidlami.