JWT (JSON Web Token)

JSON Web Token (JWT) to kompaktowy token zakodowany w formacie base64-URL, który niesie dane tożsamości (identyfikator użytkownika, poziom subskrypcji, czas wygaśnięcia, zakres) podpisane przez Twój serwer uwierzytelniający. W przypadku systemu komentarzy JWT jest formatem, którego Logora oczekuje podczas integracji z Twoim kontem czytelnika / stosem paywall.

Co Logora weryfikuje w każdym JWT

• Algorytm podpisu : RS256 / ES256 (asymetryczny) domyślnie. HS256 jest obsługiwany, ale odradzany.
• Sam podpis : względem klucza publicznego Twojego IdP (pobranego raz, zapisanego w pamięci podręcznej).
• Wystawca (iss) : musi odpowiadać IdP, który zarejestrowałeś.
• Odbiorca (aud) : musi odpowiadać Twojemu identyfikatorowi klienta Logora.
• Wygaśnięcie (exp) : tokeny po upływie czasu ważności są odrzucane.
• Opcjonalne niestandardowe dane (claims) : poziom subskrypcji, poziom paywall, punkty grywalizacji, używane do udostępniania debat premium i wyświetlania odznak.

Wylogowanie kanałem wstecznym (backchannel logout, wydanie z kwietnia 2026)

Gdy czytelnik wylogowuje się z Twojej głównej witryny, Twój IdP może wywołać punkt końcowy backchannel Logory, aby unieważnić aktywną sesję w widżecie komentarzy. Żadnych nieaktualnych sesji, żadnych niezręcznych przypadków „wylogowałem się, ale wciąż tu jestem”. Zgodne ze standardem (OpenID Connect Back-Channel Logout 1.0).

Częste pułapki

• Rozbieżność zegarów (clock skew) między serwerem Twojego IdP a Logory, rozwiązana dzięki tolerancji 30 s dla exp i iat.
• Tokeny odświeżające (refresh tokens) dla długotrwałych sesji czytania : zalecany czas życia 15-30 min.
• Nazewnictwo niestandardowych claims : preferuj claims z przestrzenią nazw (https://logora.com/subscription-tier) zamiast nazw ogólnych, które mogą się kolidować.

Zobacz SSO oraz OAuth 2.0 / OIDC, aby poznać szerszy kontekst.