راهنمای جامع امنیت JWT در سال ۲۰۲۵؛ از تهدیدها تا دفاع حرفه‌ای

JSON Web Token یا JWT به یکی از رایج‌ترین روش‌های احراز هویت و کنترل دسترسی در معماری‌های مدرن مانند Microservices، SPA، Mobile Apps و APIها تبدیل شده است. اما با گسترش حملات سایبری، امنیت JWT نیز به یک چالش حیاتی بدل شده است. در این مقاله به‌صورت تخصصی تهدیدها، اشتباهات رایج و بهترین استانداردهای امنیتی سال ۲۰۲۵ را بررسی می‌کنیم.

JWT چیست و چرا استفاده می‌شود؟

JWT یک توکن رمزگذاری‌شده است که اطلاعات احراز هویت یا مجوز دسترسی را در قالب یک Token بدون حالت (Stateless) در اختیار کلاینت قرار می‌دهد. این توکن روی سرور ذخیره نمی‌شود و همین موضوع باعث شده در سیستم‌های بزرگ بسیار محبوب شود.

مزایای JWT

• عدم نیاز به ذخیره توکن روی سرور
• سرعت بالا در احراز هویت و مقیاس‌پذیری عالی
• امکان استفاده در API و سرویس‌های مستقل
• قابل استفاده در کلاینت‌های مختلف (وب، موبایل، IoT)

چرا امنیت JWT مهم است؟

اگر یک توکن JWT به‌دست هکر بیفتد، او می‌تواند تا زمانی که توکن معتبر است به‌عنوان کاربر وارد سیستم شود. این خطر در معماری‌های بدون‌حالت (Stateless) بسیار جدی‌تر است.

مهم‌ترین تهدیدهای امنیت JWT در سال ۲۰۲۵

۱. سرقت توکن (Token Theft)

متداول‌ترین حمله علیه JWT، سرقت توکن از مرورگر، حافظه کلاینت یا شبکه است. هکر پس از سرقت توکن می‌تواند وارد پنل کاربر شود.

۲. نگهداری اشتباه در LocalStorage

نگهداری JWT در LocalStorage بسیار خطرناک است زیرا در برابر حملات XSS آسیب‌پذیر است.

۳. امضای ضعیف یا اشتباه

استفاده از الگوریتم‌های قدیمی مانند HS256 یا حتی اجازه دادن به مقدار none می‌تواند کل سیستم را سقوط دهد.

۴. Replay Attack

در این حمله، هکر توکن را دوباره استفاده می‌کند حتی اگر از کاربر اصلی باشد. بدون استفاده از JTI یا سیستم اعتبارسنجی، جلوگیری از این حمله سخت است.

۵. اعتبار بسیار طولانی توکن

اگر JWT شما چند ساعت یا چند روز اعتبار داشته باشد، در صورت سرقت، حمله بسیار راحت انجام می‌شود.

بهترین راهکارهای امنیت JWT در سال ۲۰۲۵

۱. استفاده از HttpOnly Secure Cookie

بهترین روش ذخیره JWT در سال ۲۰۲۵ استفاده از HttpOnly Cookie است:

• در برابر XSS ایمن است
• در مرورگر قابل مشاهده نیست
• به‌صورت خودکار در درخواست‌ها ارسال می‌شود

۲. استفاده از Refresh Token Rotation

در این روش، رفرش توکن بعد از هر بار استفاده باطل می‌شود و یک توکن جدید صادر می‌شود. این سیستم از حملات Replay جلوگیری می‌کند.

۳. کوتاه کردن عمر Access Token

در سال ۲۰۲۵ توصیه می‌شود:

• Access Token: بین ۵ تا ۱۵ دقیقه
• Refresh Token: بین ۷ تا ۳۰ روز

۴. استفاده از الگوریتم‌های امن‌تر (HS512 یا RS256)

الگوریتم‌های جدیدتر و امن‌تر مانند RS256 و HS512 شدیداً توصیه می‌شوند.

۵. استفاده از JTI برای جلوگیری از Replay Attack

هر توکن باید یک شناسه یکتا (jti) داشته باشد تا بتوان آن را در لیست ابطال (Blacklist) ذخیره کرد.

۶. محدودسازی سطح دسترسی (Scopes)

توکن باید دقیقاً مشخص کند کاربر چه دسترسی‌هایی دارد: مثلاً:

{
  "sub": "user123",
  "role": "writer",
  "scope": "create:post edit:post"
}

معماری پیشنهادی کامل برای امنیت JWT در سال ۲۰۲۵

۱. ورود کاربر

• صدور Access Token کوتاه‌عمر
• صدور Refresh Token در Cookie با HttpOnly

۲. درخواست API

Access Token در هدر ارسال می‌شود:

Authorization: Bearer <token>

۳. زمان انقضا

وقتی Access Token منقضی شد → درخواست Refresh Token و صدور توکن جدید.

۴. خروج (Logout)

• حذف Refresh Token از دیتابیس
• باطل کردن JTI جاری

اشتباهات فاجعه‌بار که نباید انجام دهید

• نگهداری JWT در LocalStorage
• تولید توکن بدون انقضا
• استفاده از رمز ضعیف برای امضا
• فرستادن توکن در URL
• استفاده نکردن از HTTPS

چک‌لیست امنیت JWT (ویژه برنامه‌نویسان)

• ✔ استفاده از HttpOnly Cookie
• ✔ استفاده از Refresh Token Rotation
• ✔ مدت کوتاه برای Access Token
• ✔ فعال‌سازی JTI
• ✔ جلوگیری از ارسال توکن در URL
• ✔ استفاده از الگوریتم‌های امن جدید
• ✔ مانیتورینگ رفتار درخواست‌ها

جمع‌بندی

JWT ابزاری بسیار قدرتمند است، اما اگر بدون رعایت استانداردهای امنیتی استفاده شود می‌تواند یک خطر بزرگ باشد. با رعایت اصول گفته‌شده در این مقاله—از جمله استفاده از HttpOnly Cookie، چرخش رفرش توکن، الگوریتم‌های امن، زمان اعتبار کوتاه و جلوگیری از Replay Attack—می‌توانید سیستم خود را در سطح امنیتی سال ۲۰۲۵ ایمن کنید.

امنیت JWT فقط یک تنظیم نیست؛ یک معماری کامل است.