Il futuro del business inizia con gli sviluppatori

Scopri di più
Azienda Il team dietro esperienze online migliori Mappa di rete Una nuova architettura per l'Internet moderno Relazioni con gli analisti del settore Scopri cosa dicono gli analisti di settore su Fastly Notizie Aggiornamenti e annunci recenti Piattaforma La piattaforma per esperienze digitali migliori, più veloci e più sicure Storie dei nostri clienti Scopri come hanno avuto successo i migliori siti web Eventi Connettiti con Fastly durante un evento Lavora con noi Unisciti al team che sta costruendo un internet migliore

Piattaforma edge cloud di Fastly

Vedi tutti i prodotti
Distribuzione dei contenuti (CDN) Offri esperienze rapide e personalizzate a livello mondiale Streaming live Offri esperienze di live streaming senza interruzioni Streaming Video (VoD) Offri esperienze video on-demand eccezionali Media Shield Ottimizza le distribuzioni multi-CDN On-the-Fly Packager Crea pacchetti dinamici di contenuti video on demand in tempo reale Image Optimizer Elaborazione rapida delle immagini sull'edge Bilanciatore del carico Controllo granulare sulle decisioni di routing Crittografia TLS Riduci la complessità della gestione TLS Origin Connect Connettiti direttamente a Fastly Indirizzi IP Gestisci facilmente gli indirizzi IP HTTP/3 e QUIC Protocolli moderni API di ricerca dei domini Ricerca immediata e accurata dei nomi di dominio Object Storage Get direct access to large files at the edge with zero egress fees
Next-Gen WAF Modern web app and API security, anywhere Gestione dei bot Rilevare e mitigare gli attacchi dei bot Protezione DDoS Mitigazione automatizzata degli attacchi dirompenti e distribuiti Sicurezza delle API Proteggi i tuoi endpoint API Protezione lato client Difesa dagli attacchi lato client Gestione dei bot IA Impedisci ai bot IA di estrarre i contenuti dei siti web
Edge Compute Porta le tue app a livello edge: la nostra piattaforma istantanea ti aiuta a creare esperienze straordinarie per i tuoi utenti Key Value Store Il Key Value Store più veloce che puoi ottenere, con la stessa facilità di utilizzo degli strumenti di database che conosci bene WebSockets e Fanout Messaggistica in tempo reale distribuita su scala globale, con personalizzazione completa e configurazione semplice. Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Enterprise Serverless La piattaforma serverless più potente, basata su standard aperti e integrata con la suite completa di prodotti Fastly IA Accelera i tuoi carichi di lavoro di IA e migliora l'efficienza con la cache semantica Object Storage Get direct access to large files at the edge with zero egress fees Cache programmabile Ottieni l'accesso programmabile completo alla stessa leggendaria cache che alimenta la nostra CDN. Server MCP Controllo potenziato dall'IA per i tuoi servizi Fastly.
Logging in tempo reale Trasmetti e analizza i log in tempo reale Edge Observer Esplora i dati sul traffico in tempo reale e storici Domain Inspector Valuta le informazioni a livello di dominio Origin Inspector Visualizza informazioni complete dall'origine all'edge Avvisi Crea notifiche per le metriche relative al servizio Log Explorer & Insights Interagisci con informazioni utili

Servizi straordinari per risultati eccezionali

Vedi tutti i servizi
Servizi professionali Assistenza specializzata per migrare o ottimizzare il tuo servizio di distribuzione Servizi di intrattenimento dal vivo Esperienze di live streaming con scalabilità per il tuo pubblico Piani di supporto Assistenza di prima classe dall'inizio alla fine Managed CDN Controllo e flessibilità ottimizzati Managed Security Protezione delle applicazioni web gestita con competenza Assistenza clienti Il supporto di Fastly ti aiuta a crescere meglio, insieme

Soluzioni digitali innovative

Scopri tutte le nostre soluzioni
Streaming media Offri live streaming e on-demand eccezionale Media emergenti Prestazioni elevate per i brand multimediali emergenti Editoria digitale Giornalismo in tempo reale con esperienze di lettura migliorate e-commerce Esperienze rapide e personalizzate su larga scala Servizi finanziari Sicurezza integrata per proteggere i dati dei clienti High tech Scala istantaneamente le tue prestazioni man mano che cresci Viaggi e ospitalità Esperienze online personalizzate per i tuoi ospiti e visitatori Istruzione online Offri esperienze di apprendimento sicure su larga scala Gaming Sostieni la prossima vittoria dei tuoi player con download di giochi ultra veloci e sicuri iGaming Offri un'esperienza di gioco veloce, sicura, senza interruzioni e coinvolgente a livello di edge
Risparmi sulle infrastrutture Ottieni una spesa cloud inferiore e più prevedibile Ottimizzazione multi-cloud Riduci la complessità e unifica le risorse cloud Fiducia dei clienti Scopri di più sulle iniziative di Fastly per la fiducia dei clienti Abilitazione della privacy Scopri come proteggere i dati dei tuoi utenti Dashboard di sostenibilità Consulta il tuo consumo di elettricità e le emissioni di gas serra per la piattaforma Fastly

Consentiamo a ogni sviluppatore di costruire esperienze incredibili

Prova Fastly gratis
Sviluppatori Costruisci qualcosa di straordinario oggi Fast Forward Creare un Internet più affidabile Strumenti di sviluppo Strumenti di sviluppo pensati per i team - con un edge in più Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Comunità Unisciti agli sviluppatori di tutto il mondo Registrati Crea un account sviluppatore gratuito

Contribuisci a creare una rete Internet veloce, sicura e coinvolgente con Fastly

Perché collaborare con Fastly Aiutaci a offrire esperienze sicure, veloci e coinvolgenti Cloud Partner Scopri i vantaggi di combinare Fastly con i tuoi servizi cloud Channel Partner Migliora le tue offerte e capacità con i prodotti Fastly Partner tecnologici e di integrazione Esplora il nostro ecosistema di partner
Accesso al portale partner Accedi a tutte le tue risorse partner di Fastly Diventa un partner Migliora la tua attività rivendendo o consigliando i prodotti Fastly Trova un partner Lascia che ti aiutiamo a trovare il partner giusto per le tue esigenze

Chiedi aiuto con Fastly

Documentazione Ottieni il massimo da Fastly Libreria delle risorse Esplora schede dati, report e altro ancora Fastly Academy Apprendimento pratico con i prodotti Fastly Centro di apprendimento Scopri la tecnologia Internet Blog I nostri ultimi pensieri e idee Ricerca sulla sicurezza Maggiore sicurezza grazie alla ricerca Il punto di vista di Fastly Esplora approfondimenti di esperti e del settore
Centro di Supporto Come possiamo aiutarti? Contattaci Contattaci oggi
Back to learning center

Cos'è JWT?

JWT, o JSON Web Token, è un protocollo comunemente utilizzato per trasmettere in modo sicuro dati come oggetto JSON, verificato da una firma digitale. È comunemente implementato per autenticazione, autorizzazione, proteggere le API e abilitare la funzionalità Single Sign-On (SSO) . La struttura compatta di JWT e la convalida crittografica lo rendono un'opzione affidabile per proteggere la comunicazione tra le parti. 

Cos'è JSON?

JSON (JavaScript Object Notation) è un formato di testo aperto e indipendente dal linguaggio per l'archiviazione e la trasmissione di dati. La sua semplicità significa che è facile sia da analizzare o generare per le macchine, sia da comprendere per gli esseri umani, il che la rende ideale per le applicazioni web e le API.

Cosa sono i token?

I token sono credenziali digitali che memorizzano l'identità e le autorizzazioni di un utente in una forma sicura e compatta. Sono fondamentali nei moderni sistemi di autenticazione e garantiscono che solo gli utenti autorizzati possano accedere alle risorse protette.

Come funziona JWT

Un JSON Web Token (JWT) comprende un'intestazione, payload e una firma. L'intestazione specifica l'algoritmo di hashing e il tipo di token, il payload contiene informazioni o attestazioni dell'utente, , e la firma garantisce l'integrità del token. Ecco come funziona JWT:

  • Processo di creazione del JWT: Quando un utente accede con un nome utente e una password, il server genera un JWT e lo codifica con le relative informazioni pertinenti. Questo token viene quindi firmato utilizzando una chiave segreta o una coppia di chiavi pubblica/privata per impedirne la manomissione.

  • Trasmissione del token: Una volta creato, il JWT viene inviato al client come intestazione HTTP o nel corpo della risposta. Il client può memorizzare il token in un cookie HTTP-only oppure nel local storage del browser. Il token viene quindi utilizzato per accedere alle risorse protette inviandolo come cookie o includendolo nell'intestazione di autorizzazione per le richiesta successive.

  • Convalida del token: ogni volta che il server riceve una richiesta con un JWT, la gestione della richiesta inizia con la decodifica del token. Quindi ricrea la firma usando il payload e la chiave segreta, verificando l'autenticità del token. Il server controlla le attestazioni (come l'emittente, il destinatario e la scadenza) per assicurarsi che il token non sia stato alterato e sia valido.

  • Natura senza stato: A differenza dell'autenticazione tradizionale, che è basata su sessione, il server non deve eseguire una query su un database per convalidare un utente quando usa i JWT. Poiché tutte le informazioni necessarie sono contenute nel token, la natura senza stato di JWT migliora prestazioni e scalabilità, poiché qualsiasi server con la chiave segreta può verificare il token in modo indipendente.

  • Scadenza del token: Ai JWT viene in genere assegnato un tempo di scadenza nel payload. Questo aggiunge un livello extra di sicurezza limitando l'intervallo di tempo durante il quale un token compromesso può essere utilizzato. Durante il processo di convalida, il server controlla il tempo di scadenza del token e, se è scaduto, lo rifiuta, chiedendo al client di aggiornare il token.

Benefici dell'utilizzo di JWT

JWT è molto utile per le applicazioni che scambiano informazioni tra sistemi diversi, sia all'interno di una grande azienda sia tra servizi non correlati. Consente di scambiare dati sensibili in modo sicuro senza che il mittente e il destinatario debbano essere coinvolti direttamente. Questo approccio decentralizzato rende JWT altamente flessibile e scalabile, consentendo una comunicazione accessibile tra tecnologie diverse. Diamo un’occhiata ad alcuni dei suoi benefici principali:

  • Sicurezza avanzata: La firma del JSON Web Token viene generata utilizzando una chiave segreta, rendendo i dati a prova di manomissione durante la trasmissione.

  • Autenticazione senza stato: L’uso dei token JWT codifica tutte le informazioni necessarie all’interno del token ed elimina la necessità di database lato server. Di conseguenza, questo tipo di autenticazione migliora le prestazioni e consente al cliente di scalare facilmente i propri sistemi.

  • Supporto cross-domain/CORS: Implementare CORS (cross-origin resource sharing) con JWT è più semplice perché consente uno scambio sicuro di dati tra vari domini. Questa funzionalità è utile per i clienti che vogliono integrare servizi di terze parti con i sistemi.

  • Prestazioni migliorate: JWT elimina la necessità per il server di controllare un database durante l'autenticazione degli utenti, con conseguenti tempi di risposta più rapidi e prestazioni dell'applicazione migliorate.

  • Flessibilità: un token web si integra anche con varie piattaforme ed è compatibile con più linguaggi di programmazione, consentendo una facile integrazione con stack tecnologici e ambienti diversi.

  • Integrità dei dati: Poiché qualsiasi tentativo di manomettere il token invalida la firma, JWT garantisce che i dati mantengano la loro integrità e autenticità.

  • Autenticazione decentralizzata: La tecnologia supporta i microservizi consentendo la verifica tra più servizi senza fare affidamento su un database centrale, migliorando la resilienza e la scalabilità del sistema.

Casi d'uso quotidiani per JWT

I vantaggi di JWT, tra cui maggiore sicurezza e flessibilità, lo rendono una scelta ideale per vari scenari di autenticazione. Consente alle applicazioni lato client e lato server di identificare in modo sicuro gli utenti e scambiare dati essenziali senza la necessità di eseguire una query su un database per ogni richiesta. Di seguito sono riportati alcuni dei casi d'uso più comuni per JSON Web Token:

  • Single Sign-On (SSO): Questa tecnologia semplifica l'autenticazione su più piattaforma. Una volta autenticato, un utente può accedere a vari servizio senza dover accedi ripetutamente, migliorando l’esperienza utente complessiva.

  • Autenticazione API: La maggior parte delle API RESTful usa JWT per proteggere le richiesta. L'autenticazione del client viene gestita in modo efficiente includendo il token nelle intestazioni della richiesta, assicurando che solo gli utenti autorizzati possano interagire con l'API.

  • Scambio di informazioni: La natura autonoma del JWT consente al token di contenere tutte le informazioni necessarie, garantendo una comunicazione sicura.

  • autorizzazione: I token ti consentono di codificare ruoli e autorizzazioni utente per controllo accesso. JWT consente a un'applicazione di prendere decisioni di autorizzazione utilizzando le informazioni fornite dal token, garantendo un controllo dell'accesso alle risorse.

  • Autenticazione mobile: L'autenticazione senza stato rende JWT ideale per le applicazioni mobili. I token sono facili da memorizzare e utilizzare per le successive richieste API, offrendo un'esperienza utente fluida e reattiva.

  • Identità federata: JWT consente la condivisione sicura dell’identità tra più sistemi e terze parti fidate, permettendo esperienze utente rapide su diversi dominio.

Migliori pratiche per implementare JWT

Garantire un'implementazione sicura di JWT è essenziale per proteggere i dati degli utenti e mantenere l'integrità dei processi di autenticazione. Seguire le seguenti best practice di sicurezza può ridurre i rischi, soddisfare gli Standard di conformità e mantenere resilienti le applicazione contro le minacce: 

  • Usa HTTPS

Proteggere la trasmissione dei token JWT con HTTPS garantisce che i token rimangano riservati e protetti da attacco man-in-the-middle o intercettazione.

  • Implementa una corretta gestione delle chiavi

Archivia le chiavi segrete in un ambiente sicuro e usa chiavi diverse per ambienti separati (ad es., sviluppo e produzione). Adotta una strategia di rotazione delle chiavi per ridurre al minimo i rischi in caso di compromissione.

  • Verifica tutte le affermazioni

Verifica accuratamente tutte le attestazioni all'interno del token. Ciò include il controllo del tempo di scadenza, della firma, dell'emittente e del pubblico per garantire l'autenticità e la validità del token.

  • Imposta la scadenza appropriata del token

Sebbene i tempi di scadenza siano fondamentali per la sicurezza, devi bilanciare la sicurezza e l'esperienza utente quando imposti questi tempi. Sebbene i brevi periodi di scadenza aumentino la sicurezza, riducono l'esperienza utente richiedendo una nuova autorizzazione frequente.

  • Evita di memorizzare dati sensibili nel payload

Non memorizzare mai informazioni confidenziali nel payload JWT. Sebbene la firma del token ne garantisca l’integrità, il suo contenuto è facilmente leggibile se intercettato.

  • Implementa meccanismi di revoca dei token

Crea strategie per invalidare i token quando necessario, ad esempio quando si verifica un breach del sistema o quando un utente si disconnette. Uno di questi approcci prevede la creazione e il mantenimento di una blacklist di token revocati.

  • Usa algoritmi complessi

Scegli sempre algoritmi crittografici solidi per firmare i tuoi token. Gli algoritmi robusti offrono una protezione migliore, soprattutto nei sistemi distribuiti in cui la sicurezza è fondamentale.

Ottimizza la tua implementazione JWT con Fastly Compute

I JSON Web Token sono fondamentali per garantire la sicurezza web, soprattutto per quanto riguarda le operazioni di autenticazione e autorizzazione. Sebbene JWT offra vantaggi significativi, la sua esecuzione sicura richiede un'infrastruttura solida e un'attenta pianificazione.

Compute di Fastly offre la soluzione ideale per implementare API sicure con autenticazione JWT. Grazie alla sua funzionalità sandbox leggera, la piattaforma ti consente di scrivere la logica di autenticazione utilizzando qualsiasi linguaggio. Fai riferimento al nostro tutorial per decodificare JWT con Fastly Compute.

Fai il passo successivo verso l'ottimizzazione dell'autenticazione e della sicurezza della tua applicazione. Inizia oggi la tua prova gratuita di Fastly Compute e sfrutta la potenza dell'edge computing per le tue applicazioni.

Pronto per iniziare?

Contattaci oggi
Parla con un esperto