JWT (JSON Web Token) ile kimlik doğrulama şu şekilde yapılır: 1. Kullanıcı girişi: Kullanıcı, kimlik bilgilerini (kullanıcı adı, şifre vb.) sunucuya gönderir. 2. Kimlik doğrulama: Sunucu, bu bilgileri doğruladıktan sonra bir JWT oluşturur ve kullanıcıya geri gönderir. 3. Sonraki istekler: Kullanıcı, sonraki isteklerinde bu JWT’yi sunucuya göndererek kimliğini kanıtlar. 4. Sunucu doğrulaması: Sunucu, JWT’yi doğrulayarak kullanıcının yetkilerini kontrol eder ve isteğe göre yanıt verir. JWT'nin yapısı: Header (Başlık): Token tipini ve kullanılan imzalama algoritmasını belirtir. Payload (Yük): Kullanıcı kimliği, rol ve sona erme süresi gibi bilgileri içerir. Signature (İmza): Başlık ve yükün bir sır (secret key) veya genel/özel anahtar çifti ile imzalanmasıyla oluşturulur. JWT, durumsuz (stateless) olduğu için sunucu tarafında oturum bilgisi saklama ihtiyacını ortadan kaldırır, bu da ölçeklenebilirliği artırır.