JWT (JSON Web Token)

Ein JSON Web Token (JWT) ist ein kompaktes, base64-URL-codiertes Token, das Identitätsangaben (Benutzer-ID, Abo-Stufe, Ablaufzeit, Geltungsbereich) trägt und von Ihrem Authentifizierungsserver signiert wird. Für ein Kommentarsystem ist JWT das Format, das Logora bei der Integration mit Ihrem Leserkonto- bzw. Paywall-Stack erwartet.

Was Logora bei jedem JWT prüft

• Signaturalgorithmus : RS256 / ES256 (asymmetrisch) standardmäßig. HS256 wird unterstützt, aber nicht empfohlen.
• Signatur selbst : gegen den öffentlichen Schlüssel Ihres IdP (einmalig abgerufen, zwischengespeichert).
• Aussteller (iss) : muss mit dem von Ihnen registrierten IdP übereinstimmen.
• Zielgruppe (aud) : muss mit Ihrer Logora-Client-ID übereinstimmen.
• Ablaufzeit (exp) : abgelaufene Tokens werden abgewiesen.
• Optionale benutzerdefinierte Claims : Abo-Stufe, Paywall-Ebene, Gamification-Punkte, genutzt, um Premium-Debatten freizuschalten und Abzeichen anzuzeigen.

Backchannel-Logout (Release April 2026)

Wenn sich eine Leserin oder ein Leser von Ihrer Hauptseite abmeldet, kann Ihr IdP den Backchannel-Endpunkt von Logora aufrufen, um die aktive Sitzung im Kommentar-Widget zu invalidieren. Keine veralteten Sitzungen, keine unangenehmen „Ich habe mich abgemeldet, bin aber immer noch da”-Fälle. Standardkonform (OpenID Connect Back-Channel Logout 1.0).

Häufige Fallstricke

• Uhrzeitabweichung (Clock Skew) zwischen Ihrem IdP-Server und dem von Logora, gelöst durch eine Toleranz von 30 Sekunden bei exp und iat.
• Refresh-Tokens für langlebige Lesesitzungen : eine Lebensdauer von 15-30 Minuten wird empfohlen.
• Benennung benutzerdefinierter Claims : bevorzugen Sie mit Namensraum versehene Claims (https://logora.com/subscription-tier) gegenüber generischen Namen, die kollidieren können.

Siehe SSO und OAuth 2.0 / OIDC für den größeren Zusammenhang.