JWT is veilig mits correct geïmplementeerd. Gebruik altijd sterke ondertekeningsalgoritmen (RS256 of ES256 boven HS256 voor publieke API's), stel korte expiratie-tijden in, verzend tokens alleen via HTTPS en sla ze op in httpOnly cookies. Vermijd het opnemen van gevoelige data in de payload, want deze is base64-gecodeerd maar niet versleuteld.

Wat is het verschil tussen JWT en een sessie-cookie?

Bij sessie-cookies slaat de server sessiedata op en stuurt alleen een sessie-ID naar de client. Bij JWT bevat het token zelf alle benodigde informatie (stateless). JWT is beter geschikt voor gedistribueerde systemen en API's, terwijl sessie-cookies eenvoudiger zijn voor traditionele webapplicaties met één server.

Kan een JWT worden ingetrokken?

JWT's zijn inherent niet intrekbaar omdat ze stateless zijn. Oplossingen zijn: korte expiratie-tijden gebruiken, een token blacklist bijhouden (wat deels het stateless voordeel teniet doet) of token versioning via een claim die bij uitloggen wordt bijgewerkt. Refresh token rotation biedt een goede balans tussen beveiliging en prestaties.

Wat is JWT? - Uitleg & Betekenis

Leer wat JWT (JSON Web Token) is, hoe stateless authenticatie werkt en waarom JWT de standaard is voor moderne API-authenticatie en autorisatie.

Definitie

JWT (JSON Web Token) is een open standaard (RFC 7519) voor het veilig overdragen van informatie tussen partijen als een compact, URL-veilig JSON-object. JWT's worden breed ingezet voor stateless authenticatie en autorisatie in moderne webapplicaties en API's.

Technische uitleg

Een JWT bestaat uit drie delen, gescheiden door punten: header, payload en signature. De header bevat het tokentype en het gebruikte ondertekeningsalgoritme (zoals HS256 of RS256). De payload bevat claims, zowel geregistreerde (iss, exp, sub) als aangepaste, die informatie over de gebruiker en rechten bevatten. De signature wordt berekend door header en payload te combineren met een geheim (HMAC) of een privésleutel (RSA/ECDSA). Bij stateless authenticatie hoeft de server geen sessiedata op te slaan: alle benodigde informatie zit in het token zelf. Access tokens hebben een korte levensduur (minuten) terwijl refresh tokens langer geldig zijn voor het verkrijgen van nieuwe access tokens. JWT's zijn ideaal voor microservice-architecturen omdat elke service het token onafhankelijk kan valideren zonder een centrale sessiestore. Belangrijke beveiligingsoverwegingen zijn: tokens altijd via HTTPS versturen, korte expiratie-tijden instellen, gevoelige data niet in de payload opnemen en tokens veilig opslaan (httpOnly cookies boven localStorage).

Hoe MG Software dit toepast

MG Software gebruikt JWT als standaard authenticatiemechanisme in onze API's en webapplicaties. We implementeren een access/refresh token-strategie met korte levensduur voor access tokens en veilige httpOnly cookies voor refresh tokens. In onze Supabase-integraties verwerken we JWT's voor Row Level Security. Voor microservice-architecturen gebruiken we JWT's om verzoeken tussen services te authenticeren zonder een gedeelde sessiestore.

Praktische voorbeelden

Een webapplicatie die na inloggen een JWT access token retourneert met een geldigheidsduur van 15 minuten, waarna een refresh token automatisch een nieuw access token aanvraagt zonder dat de gebruiker opnieuw hoeft in te loggen.
Een microservice-architectuur waarbij elke service inkomende JWT-tokens valideert tegen de publieke sleutel van de authenticatieservice, zonder een gedeelde database te raadplegen.
Een mobiele app die JWT-tokens opslaat in de secure storage van het besturingssysteem en bij elk API-verzoek meestuurt in de Authorization-header.

Gerelateerde begrippen

api security twee factor authenticatie encryptie zero trust cybersecurity

Veelgestelde vragen

Klaar om te starten?

Neem contact met ons op voor een vrijblijvend gesprek over uw project.

Neem contact op

Gerelateerde artikelen

Wat is OAuth? - Uitleg & Betekenis

Leer wat OAuth is, hoe dit autorisatieprotocol werkt en waarom OAuth de standaard is voor veilige toegang tot API's en third-party applicaties.

Wat is een API Gateway? - Uitleg & Betekenis

Leer wat een API Gateway is, hoe het API-verkeer beheert met rate limiting en authenticatie, en waarom het essentieel is voor microservice-architecturen.

Wat is Twee-Factor-Authenticatie? - Uitleg & Betekenis

Leer wat twee-factor-authenticatie (2FA) is, hoe multi-factor authenticatie werkt en waarom 2FA met passkeys in 2026 de standaard is voor accountbeveiliging.

Auth0 vs Clerk: Vergelijking voor Developers

Vergelijk Auth0 en Clerk op authenticatie, developer experience, UI-componenten en enterprise-functies. Ontdek welk auth-platform het beste bij uw webapplicatie past.