რატომ არ უნდა გამოიყენოთ JWT მომხმარებლის ავტორიზაციისთვის

უსაფრთხოების ექსპერტები აფრთხილებენ: JWT ტოკენები სესიების მართვისთვის არასწორი არჩევანია. უპირატესობა ტრადიციულ ქუქი-ფაილებს მიანიჭეთ.

ლანა ბოლქვაძე

16 ივნისი, 2026 · 18:042 წუთის წასაკითხი

გააზიარე

თანამედროვე ვებ-დეველოპმენტში JWT (JSON Web Token) ტოკენების გამოყენება მომხმარებლის სესიების მართვისთვის ფართოდ გავრცელებული პრაქტიკა გახდა. თუმცა, ტექნოლოგიური საზოგადოება სულ უფრო ხშირად მოუწოდებს პროგრამისტებს, უარი თქვან ამ მიდგომაზე. მთავარი მიზეზი მარტივია: JWT არ არის შექმნილი მომხმარებლის მუდმივი ავტორიზაციისთვის და მისი გამოყენება ამ მიზნით უსაფრთხოების ხარვეზებს ქმნის.

რატომ არის JWT არასწორი არჩევანი?

ბევრი დეველოპერი მცდარად თვლის, რომ „stateless“ არქიტექტურა, რომელსაც JWT გვთავაზობს, ავტომატურად ნიშნავს უკეთეს და უსაფრთხო სისტემას. სინამდვილეში, სრულად „stateless“ ავტორიზაცია პრაქტიკულად შეუძლებელია და ხშირად წარმოადგენს ილუზიას, რომელიც უსაფრთხოების რესურსების არასწორ გადანაწილებას იწვევს.

ხშირია არგუმენტი, რომ Google-იც იყენებს JWT-ს, თუმცა ეს სიმართლის ნახევარია. Google-ი JWT-ს იყენებს მხოლოდ Single Sign-On (SSO) სისტემებში, როგორც ტრანსპორტირების საშუალებას სერვერებს შორის ინფორმაციის გასაცვლელად და არა მომხმარებლის ბრაუზერში სესიის შესანარჩუნებლად. რეალური სესიებისთვის Google-ი ისევ ტრადიციულ, დაცულ ქუქი-ფაილებს (Cookie Sessions) იყენებს.

localStorage-ის საფრთხეები

კიდევ ერთი მნიშვნელოვანი შეცდომაა JWT ტოკენების შენახვა ბრაუზერის localStorage ან sessionStorage მეხსიერებაში. ეს სივრცეები არ არის განკუთვნილი მგრძნობიარე ინფორმაციისთვის, რადგან მათზე წვდომა ნებისმიერ სკრიპტს შეუძლია, რაც XSS (Cross-Site Scripting) შეტევების შემთხვევაში ტოკენის მარტივად მოპარვის საშუალებას იძლევა.

რა არის ალტერნატივა?

თუ თქვენ გჭირდებათ უსაფრთხო და დადასტურებული მეთოდი მომხმარებლის ავტორიზაციისთვის, საუკეთესო გზა კვლავ კლასიკური სესიური ქუქი-ფაილებია. ისინი დიზაინითვე მორგებულია სესიების მართვას და მხარდაჭერილია თითქმის ყველა ვებ-ფრეიმვორკის მიერ. თუ აუცილებლად გჭირდებათ ხელმოწერილი ტოკენის გამოყენება გარკვეული ტრანზაქციებისთვის, უმჯობესია გამოიყენოთ PASETO (Platform-Agnostic Security Tokens), რომელიც სპეციალურად უსაფრთხოების გათვალისწინებით არის შექმნილი.

საბოლოო ჯამში, დეველოპერებმა უნდა შეწყვიტონ JWT-ს ბოროტად გამოყენება. გამოიყენეთ სწორი ინსტრუმენტი სწორი მიზნისთვის — ეს არის საუკეთესო გზა თქვენი მომხმარებლების მონაცემების დასაცავად.

რატომ აქვს ამას მნიშვნელობა

საქართველოს ტექნოლოგიურ სექტორში, სადაც სტარტაპები და პროგრამული უზრუნველყოფის კომპანიები სწრაფად ვითარდებიან, უსაფრთხოების სტანდარტების დაცვა კრიტიკულია. არასწორი არქიტექტურული გადაწყვეტილებები, როგორიცაა JWT-ს არამიზნობრივი გამოყენება, პირდაპირ აისახება ქართული ციფრული პროდუქტების დაუცველობაზე ჰაკერული შეტევების მიმართ.

ხშირად დასმული კითხვები

ეს მეხსიერება დაუცველია XSS შეტევების მიმართ, რაც ჰაკერებს ტოკენის მოპარვის საშუალებას აძლევს.
სესიების მართვისთვის რეკომენდებულია ტრადიციული სესიური ქუქი-ფაილები, ხოლო ტოკენებისთვის - PASETO.
არა, ის ეფექტურია SSO და სერვერებს შორის მონაცემთა გადაცემისთვის, თუ სწორად არის დანერგილი.