JWT (JSON Web Tokens) ile basitçe doğruma süreci şu şekilde olur.
1. Kullanıcı veya servis önce kullanıcı adı ve şifresi ile login olur.
2. Login sonrası cevap olarak JWT token'ı dönülür.
3. Bundan sonraki tüm isteklerde kullanıcı veya servis bu token'i gönderir
4. Gelen isteklere cevap veren servis gelen token'ı kontrol eder ve token'ı doğrular ve kullanıcı adı ve bilgilerini buradan alır. Eğer doğrulama geçersiz ise istek reddedilir.
2. adımda JWT token'ı oluşturma işleminde bir gizli anahtar kullanılır. Header ile Payload aralarına . konularak birleştirilir ve gizli anahtar ile şifrelenir. Ve Header.Payload.Signature dan oluşan JWT token'ı istemciye gönderilir. İstemciye gönderme için Header'a
Authorization: Bearer MYTOKEN şeklinde token eklenmelidir.
4. adımda ise gelen token'ı doğrulama için gelen token'dan Header.Payload ifadesi daha önce kullanılan gizli anahtar ile imzalanır. İmzalanma sonucu üretilen sonuç, token ile gelen Signature bölümü ile aynı ise doğrulanma gerçekleşir. Değilse geçersiz bir token olduğu anlaşılır ve istek reddedilir.
