MEAN Stack - JSON Web Token

Podobne dokumenty
MEAN Stack - JSON Web Token

Dokumentacja techniczna API systemu SimPay.pl

API transakcyjne BitMarket.pl

Gatesms.eu Mobilne Rozwiązania dla biznesu

Automater.pl zdalne tworzenie i zarządzanie transakcjami dokumentacja API wersja 0.1

SSL (Secure Socket Layer)

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Kurs rozszerzony języka Python

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Specyfikacja techniczna. mprofi Interfejs API

PHP: bloki kodu, tablice, obiekty i formularze

Dokumentacja REST API v 3.0

MEAN Stack - uwierzytelnienie

MEAN Stack - uwierzytelnienie

Dokumentacja REST API v 3.0. Kraków, 7 marca FreshMail, ul. Fabryczna 20a, Kraków tel , freshmail.

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Specyfikacja interfejsów usług Jednolitego Pliku Kontrolnego

Specyfikacja API 1.0. Specyfikacja kontroli Konta systemu CashBill z wykorzystaniem API opartego na REST

Dokumentacja smsapi wersja 1.4

Systemy pojedynczego logowania (Single Sign-On)

Internetowe bazy danych

Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do

Programowanie Komponentowe WebAPI

Języki programowania wysokiego poziomu. PHP cz.3. Formularze

ZABEZPIECZENIE KOMUNIKACJI Z SYSTEMEM E-PŁATNOŚCI

Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Java wybrane technologie

Protokół IPsec. Patryk Czarnik

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

DOKUMENTACJA TECHNICZNA SMS API MT

Sieci komputerowe i bazy danych

SMS Kod Automatyczny

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Spis treści 1. Założenia ogólne 2. Wymagania 3. Typy SMSów 4. Statusy SMSów 5. Wysyłanie SMSów - Web API 6. Wysyłanie SMSów - 7.

Co to jest NODE.JS? Nowoczesne środowisko programistyczne

Java Code Signing UŜycie certyfikatów niekwalifikowanych do podpisywania kodu w technologii Java. wersja 1.2 UNIZETO TECHNOLOGIES SA

Języki programowania wysokiego poziomu. PHP cz.4. Bazy danych

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Aplikacje www laboratorium

Java Enterprise Edition spotkanie nr 1 (c.d.) JavaMail

Marcin Szeliga Sieć

Specyfikacja instalacji usługi SMS Premium w Przelewy24.pl

Ewolucja projektowania aplikacji w PHP na bazie frameworka Symfony 2

Podręcznik Integracji

I. Uruchomić setup i postępować według instrukcji

Baza danych do przechowywania użytkowników

Bezpieczne protokoły Materiały pomocnicze do wykładu

On-Board Unit (OBU) Rejestracja. Spis treści Logowanie... 1

Exchange 2007 Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange 2007 wersja 1.1 UNIZETO TECHNOLOGIES S.A.

WebNotarius. Specyfikacja techniczna komunikacji z usługą WebNotarius. wersja 1.1

1 Wprowadzenie do J2EE

Wprowadzenie. 1. Terminal WebRTC. LABORATORIUM 5: WebRTC komunikacja między terminalami.

Przesyłania danych przez protokół TCP/IP

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

ZiMSK. Konsola, TELNET, SSH 1

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP

Dokumentacja Techniczna. Dokumentacja techniczna usługi płatności mobilnych

DOKUMENTACJA INTERFEJSU API - HTTPS

Funkcje dodatkowe. Wersja 1.2.1

REFERAT PRACY DYPLOMOWEJ

Dokumentacja Techniczna 1.2. Webtoken MT. Uruchomienie subskrybcji MT poprzez serwis WWW

Dokumentacja REST API v 3.0

Funkcje dodatkowe. Wersja 1.2.1

Implementacja mechanizmu SkyCashClick Wersja 0.1

Dokumentacja 2SMS

Ogólnopolskie Repozytorium Prac Dyplomowych

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Paweł Rajba,

Języki skryptowe - PHP. PHP i bazy danych. Paweł Kasprowski. pawel@kasprowski.pl. vl07

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

INSTRUKCJE JAK AKTYWOWAĆ SWOJE KONTO PAYLUTION

System DiLO. Opis interfejsu dostępowego v. 2.0

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Programowanie w Sieci Internet Python - c. d. Kraków, 28 listopada 2014 r. mgr Piotr Rytko Wydział Matematyki i Informatyki

4. Podstawowa konfiguracja

76.Struktura oprogramowania rozproszonego.

Spis treści INTERFEJS (WEBSERVICES) - DOKUMENTACJA TECHNICZNA 1

Zdalne logowanie do serwerów

Krótka instrukcja instalacji

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Baza numerów Wersja 1.1

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

Komunikator internetowy w C#

Aktualizacja SMSFall v Data publikacji:

Dokumentacja SMS przez FTP

Podstawy Secure Sockets Layer

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Lab5 - Badanie protokołów pocztowych

(Pluggable Authentication Modules). Wyjaśnienie technologii.

Rejestracja w serwisie GTC Siemens Instrukcja instalacji NX dla studentów i pracowników Politechniki Lubelskiej

Budowa wiadomości SMTP. autorzy: Aleksandra Wichert Marcin Żurowski

Protokoły sieciowe - TCP/IP

Transkrypt:

MEAN Stack - JSON Web Token Tworzenie serwisów Web 2.0 dr inż. Robert Perliński rperlinski@icis.pcz.pl 19 listopada 2018 Plan prezentacji Spis treści 1 JSON Web Token 1 1.1 Budowa i działanie JWT............................ 2 1.1.1 JWT Header.............................. 5 1.1.2 JWT Payload.............................. 6 1.1.3 JWT Signature............................. 8 1.1.4 Jak JWT chroni dane?......................... 8 1.2 JWT w Node.js i Express.js.......................... 9 1.2.1 Pakiet jwt-async............................ 9 1.2.2 Pakiet express-jwt.......................... 11 2 Źródła 13 1 JSON Web Token https://jwt.io/ JSON Web Token to otwarty, przemysłowy standard RFC 7519, który definiuje zwięzyły i samowystarczalny sposób na bezpiecznie przekazanie informacji pomiędzy dwiema stronami w formie obiektu JSON. Taka przekazana informacja może być zweryfikowana ponieważ jest cyfrowo podpisana. 1

JWT może być podpisany używając tajnego klucza (algorytm HMAC) albo przy pomocy pray kluczy publiczny/prywatny używając algorytmu RSA. jwt.io pozwala na dekodowanie, weryfikację i generowanie JWT. Cechy JWT Mały rozmiar - pozwala na przesyłanie tokentów: w adresie URL, jako parametry metody POST, w nagłówku protokołu HTTP. Samodzielny - JWT zawiera wszystkie potrzebne do weryfikacji informacje, nie ma potrzeby dodatkowego łączenia się np. z bazą danych. Kiedy warto używać? Uwierzytelnienie - najczęstszy scenariusz dla JWT. Jedno zalogowanie się wystarczy do uzyskania JWT i wielokrotnego dostępu do danych przy użyciu tokenu. Można łatwo używać nawet dla wielu domen. Wymiana informacji - dobrze nadaje się w wymianie informacji między stronami, może być podpisany z użyciem pary kluczy publiczny/prywatny. Mamy pewność nadawcy. Mamy też pewność, że odebrane dane (nagłówek i ładunek) są nienaruszone. 1.1 Budowa i działanie JWT JSON Web Token JSON Web Token to obiekt JSON zdefiniowany według standardu RFC 7519, który pozwala w bezpieczny sposób na reprezentację zbioru informacji między dwiema stronami. Token składa sie z nagłówka (header), zawartości (payload) i podpisu (signature). Najproście mówiąc JWT to zbiór znaków w następującym formacie: header.payload.signature Zbiór znaków w cudzysłowiu to poprawny obiekt JSON. Przykład gotowego tokena: eyj0exaioijkv1qilcjhbgcioijiuzi1nij9. eyjlehaioiixndg5njazndqwiiwibmftzsi6ikphbwvziejvbmqilcjhzg1pbii6dhj1 ZSwidXNlcklkIjoiYjA4Zjg2YWYtMzVkYS00OGYyLThmYWItY2VmMzkwNDY2MGJkIn0. koe-_iigdbobzsyfziqb45vavbik6atzpklubhxjpqw Kodowanie base 64 Base 64: Jedno z grupy kodowań danych binarnych na format tekstowy. Dane binarne są reprezentowane za pomocą kodu ASCII. Dane poszczególnych bajtów (8 bitów) są zastępowane systemem o podstawie 64 (zamiast 256). Każdy znak w Base 64 odpowiada 6 bitom reprezentacji binarnej. Znaki w Base 64 to: A-Z, a-z, 0-9, +, /, = (pad, znak dopełnienia). 2

Znaki +, / zastępowane czasem w adresach URL -, Przykład: var JWT = require('jwt-async');... console.log( JWT.base64urlEncode('Man is like a...') ); TWFuIGlzIGxpa2UgYSAuLi4 Trzy litery Man odpowiadają zapisowi TWFu JSON Web Token na jwt.io Zalety JWT Zalety JWT w porównaniu do SWT (Simple Web Token) i SAML (Security Assertion Markup Language Tokens): mniejsze niż SAML - JSON jest bardziej zwięzły niż XML, lepiej nadaje się w środowisku HTML i dla protokołu HTTP, parsery JSONa są dostępne w większości języków programowania, bezpośrednio mapują się na obiekty, łatwiej niż z językiem XML, JWT jest używany na skalę internetową, bardzo łatwo używać JWT po stronie klienta na wielu platformach, szczególnie urządzeń przenośnych. 3

Dostępność JWT w różnych językach programowania Biblioteki do pospisywania i weryfikacji JWT dostępne w wielu językach programowania:.net (System.IdentityModel.Tokens.Jwt, jose-jwt, jose-rt), Python (pyjwt, python-jose, jwcrypto), Node.js (jsonwebtoken), Java (com.auth0 / java-jwt / 3.0.1, org.bitbucket.b c / jose4j / 0.6.2,...), JavaScript (jsrsasign, jose-jwe-jws), Perl (Crypt::JWT), Ruby (jwt, json-jwt, json web token, jose), Go (github.com/dgrijalva/jwt-go, github.com/dvsekhvalnov/jose2go,...), Haskel (jwt, jose), D (jwtd, jwt), Clojure (funcool/buddy 0.6.0 ), Swift (pod JSONWebToken ), C (ppa:ben-collins/libjwt), PHP (firebase/php-jwt, namshi/jose, lcobucci/jwt,...),... Wykorzystanie JWT JSON Web Token Działanie JWT, trzy podmioty: użytkownik, serwer aplikacji, serwer uwierzytelniający. Serwer uwierzytelniający udostępnia JWT użytkownikowi. Używając JWT użytkownik może bezpiecznie komunikować się z serwerem aplikacyjnym. Krok po kroku: 1. Użytkownik loguje się do serwera uwierzytelniającego (login i hasło, Google login, Facebook login,...). 4

2. Serwer uwierzytelniający tworzy dla użytkownika JWT i przesyła mu go. 3. Użytkownik wysyłając żądania aplikacji przesyła razem z nimi uzyskany token. 4. Serwer aplikacyjny weryfikuje czy dany token jest utworzony przez odpowieni serwer uwierzytelniający. Pozwoli to na zweryfikowanie, czy dany użytkownik jest uwierzytelniony. 5. Serwer aplikacji odpowiada na żądanie przekazując dopowiednie dane. Wykorzystanie JWT Otrzymany od serwera token użytkownik zapsuje lokalnie, zwykle w local storage, ale mogą być też ciasteczka. Jest to inne podejście niż tworzenie sesji na serwerze i zwracanie ciasteczka. Kiedy chcemy mieć dostęp do określonych zasobów używamy JWT odpowiedniego agenta, zwykle jest to nagłówek Header ze schematem Bearer (pol. na okaziciela): Authorization: Bearer <token> Mechanizm tego uwierzytelnienia jest bezstanowy (serwer nie przechowuje w pamięci żadnych informacji o użytkowniku). JWT jest samowystarczalny, nie ma potrzeby pobierać żadnych dodatkowych danych, np. z bazy. Wykorzystanie JWT 1.1.1 JWT Header Nagłówek JSON Web Token Nagłówek JWT zawiera informacje określające jak wygenerować podpis. Nagłówek jest obiektem JSON o następującym formacie: 5

{ } "typ": "JWT", "alg": "HS256" "typ" informuje, że jest to obiekt JWT, "alg" określa jakiego algorytmu użyjemy do wygenerowania podpisu.tutaj jest to algorytm HMAC-SHA256. Algorytmy określone przez standard RFC 7518 JWS (JSON Web Signature) używa allgorytmów do podpisania nagłówka i ładunku. Standard RFC 7518 określa następujące algorytmy: Wartość parametru "alg" Podpis cyfrowy albo algorytm MAC wymagania implementacji HS256 HMAC z użyciem SHA-256 wymagany HS384 HMAC z użyciem SHA-384 opcjonalny HS512 HMAC z użyciem SHA-512 opcjonalny RS256 RSASSA-PKCS1-v1_5 z użyciem SHA-256 zalecany RS384 RSASSA-PKCS1-v1_5 z użyciem SHA-384 opcjonalny RS512 RSASSA-PKCS1-v1_5 z użyciem SHA-512 opcjonalny ES256 ECDSA z użyciem P-256 i SHA-256 zalecany ES384 ECDSA z użyciem P-384 i SHA-384 opcjonalny ES512 ECDSA z użyciem P-521 i SHA-512 opcjonalny PS256 RSASSA-PSS z użyciem SHA-256 i MGF1 z SHA-256 opcjonalny PS384 RSASSA-PSS z użyciem SHA-384 i MGF1 z SHA-384 opcjonalny PS512 RSASSA-PSS z użyciem SHA-512 i MGF1 z SHA-512 opcjonalny none Bez podpisu cyfrowego czy wykonywania alg. MAC opcjonalny 1.1.2 JWT Payload Ładunek JSON Web Token Ładunek (ang. payload) JWT: Przechowuje dane zawarte w tokenie. Są to z ang. tzw. "claims" of JWT. To są informacje, które chcemy przesłać oraz inne informacje o tokenie. Stwierdzenia (claims) mogą być: zarezerwowane, publiczne i prywatne. Rodzaje stwierdzeń (claims) w JWT I Zarezerwowane, nie są obowiązkowe ale część z nich (albo wszystkie) może okazać się przydatna. Mogą służyć za bazę dobrej, funkcjonalnej zawartości tokenu konkretnego serwisu. iss: (ang. issuer), wystawca tokenu, np. myapp.io, sub: (ang. subject), podmiot tokenu(unikalna nazwa w serwisie (lokalnie) albo w całej sieci (globalnie)), aud: (ang. audience), odbiorcy tokenu, grupa osób (unikalne nazwy w tablicy), exp: (ang. expiration time), określa czas utraty ważności przez token w formacie NumericDate, często używane, musi być większa niż bieżąca data/czas, nbf: (ang. not before), określa kiedy token nie będzie jeszcze ważny, iat: (ang. issued at), określa kiedy wydano token, pozwala na określenie jego wieku, jti: (ang. JWT ID), unikalny identyfikator dla tokenu, zapobiega powtórzeniu się tokenu, wydawca tokenu musi zapewnić tutaj dane bez możliwości wystąpienia kolizji, niepowtarzające się. 6

Rodzaje stwierdzeń (claims) w JWT II Publiczne - nazwy dowolnie określane przez użytkowników JWT ale... żeby zapobiec kolizjom powinny być specjalnym rejestrze IANA "JSON Web Token Claims" albo powinny być nazwami publicznymi. Prywatne - producent/wydający i uzytkownik JWT mogą zgodzić się na używanie własnych nazw, prywatnych, które nie są zarezerwowane ani publiczne. Mogą one powodować kolizje i należy używać ich ostrożnie. Przykład: { } "iss": "scotch.io", "exp": 1489603440, "name": "James Bond", "admin": true, "userid": "b08f86af-35da-48f2-8fab-cef3904660bd" https://www.iana.org/ - The Internet Assigned Numbers Authority Publiczne rodzaje stwierdzeń (claims) w JWT I nazwa opis iss Issuer sub Subject aud Audience exp Expiration Time nbf Not Before iat Issued At jti JWT ID name Full name given name Given name(s) or first name(s) family name Surname(s) or last name(s) middle name Middle name(s) nickname Casual name preferred username Shorthand name by which the End-User wishes to be referred to profile Profile page URL picture Profile picture URL website Web page or blog URL email Preferred e-mail address email verified True if the e-mail address has been verified; otherwise false gender Gender birthdate Birthday zoneinfo Time zone locale Locale...... Publiczne rodzaje stwierdzeń (claims) w JWT II nazwa opis..... phone number Preferred telephone number phone number verified True if the phone number has been verified; otherwise false address Preferred postal address updated at Time the information was last updated azp Authorized party - the party to which the ID Token was issued nonce Value used to associate a Client session with an ID Token auth time Time when the authentication occurred at hash Access Token hash value c hash Code hash value acr Authentication Context Class Reference amr Authentication Methods References sub jwk Public key used to check the signature of an ID Token cnf Confirmation sip from tag SIP From tag header field parameter value sip date SIP Date header field value sip callid SIP Call-Id header field value sip cseq num SIP CSeq numeric header field parameter value sip via branch SIP Via branch header field parameter value 7

1.1.3 JWT Signature Podpis Podpis generowany jest nestępująco: sign = HMACSHA256( base64urlencode(header) + "." + secret) base64urlencode(payload), Łączymy nagłówek i ładunek JWT zakodowane w Base 64 i połączone. i razem z sekretnym kluczem (secret) liczona jest funkcja skrótu algorytmem określonym w nagłówku (HS256). Przykład wygenerowanego podpisu: koe-_iigdbobzsyfziqb45vavbik6atzpklubhxjpqw Cały token: eyj0exaioijkv1qilcjhbgcioijiuzi1nij9. eyjlehaioiixndg5njazndqwiiwibmftzsi6ikphbwvziejvbmqilcjhzg1pbii6dhj1 ZSwidXNlcklkIjoiYjA4Zjg2YWYtMzVkYS00OGYyLThmYWItY2VmMzkwNDY2MGJkIn0. koe-_iigdbobzsyfziqb45vavbik6atzpklubhxjpqw 1.1.4 Jak JWT chroni dane? Jak JWT chroni dane? Celem JWT nie jest ukrycie naszych danych w jakikolwiek sposób. Celem JWT jest uzyskanie pewności, że przesłane dane zostały utworzone przez wiarygodne źródło. Dane zawarte w JWT zostały zapisane w Base 64 i podpisane ale nie zaszyfrowane. Zapisanie danych w Base 64 ma na celu zmianę struktury danych. Podpisanie danych pozwala aplikacji odbiorającej token zweryfikować poprawność tych danych. Zapisanie danych w Base 64 i podpisanie ich nie ukrywa danych. Głównym celem JWT jest zapobieganie nieuprawnionemu dostępowi. Weryfikowanie tokenu Dwa podmioty znają sekretny klucz wykorzystywany przy generowaniu JWT: serwer uwierzytelniający i serwer aplikacyjny. Serwer aplikacyjny uzykuje sekretny klucz od serwera uwierzytelniającego kiedy ten ustawia swój proces uwierzytelnienia. Znając tajny klucz, aplikacja może wygenerować podpis dla przesłanego ładunku JWT i porównać go z jego podpisem. Jeśli porównanie okaże się prawidłowe oznacza, że użytkownik jest uwierzytelniony, można mu odesłać dane. W przeciwnym przypadku może być to jakaś próba ataku na dane dostępne w aplikacji. 8

1.2 JWT w Node.js i Express.js Używanie JWT w Express W repozytoriach npm mamy dużo pakietów związanych z JWT. Ważniejsze pakiety: express-jwt - chyba podstawowy pakiet do JWT w Express, napisany przez Auth0, jsonwebtoken - oficjalny pakiet dostawców JWT czyli Auth0, jwt-async - spore możliwości, działa też asynchronicznie, pozwala również na kododwanie/dekodowanie Base 64, jwt-simple - minimalna funkcjonalność wystarczająca do obsługi JWT, wiele, wiele innych... 1.2.1 Pakiet jwt-async Tworzenie JWT w jwt-async Tworzmy szkielet aplikacji: express -v pug myjwt Instalujemy wszystko: npm install Instalujemy pakiet jwt-async: npm install --save jwt-async Tworzmymy sobie dodatkowe trasy do testowania JWT: app.js var jwt = require('./routes/jwt');... app.use('/jwt', jwt); W module routes/jwt.js dołączamy bibliotekę: var JWT = require( jwt-async ); Używamy biblioteki, np. do uzyskania listy dostępnych algorytmów: jwt.js router.get('/algorithms', function(req, res, next) { console.log( JWT.getSupportedAlgorithms() ); res.send('lista algorytmów w konsoli'); Lista algorytmów do tworzenia JWT w jwt-async Lista algorytmów: { NONE: 'No digital signature or MAC performed', HS256: 'HMAC using SHA-256', HS384: 'HMAC using SHA-384', HS512: 'HMAC using SHA-512', RS256: 'RSASSA-PKCS-v1_5 using SHA-256', RS384: 'RSASSA-PKCS-v1_5 using SHA-384', RS512: 'RSASSA-PKCS-v1_5 using SHA-512', ES256: 'ECDSA using P-256 and SHA-256', ES384: 'ECDSA using P-384 and SHA-384', ES512: 'ECDSA using P-521 and SHA-512' } 9

Kodowanie do Base w jwt-async Zawartość nagłówka i ładunku i kodowanie do Base 64: router.get('/header-payload', function(req, res, next) { var header = '{"typ":"jwt","alg":"hs256"}'; var payload = '{"exp":"1489603440","name":"james Bond","admin":true,\ "userid": "b08f86af-35da-48f2-8fab-cef3904660bd"}'; console.log( JWT.base64urlEncode(header) ); console.log( JWT.base64urlEncode(payload) ); res.send('zakodowany nagłówek i ładunek w konsoli'); Uzyskana zawartość nagłówka i ładunku w Base 64: eyj0exaioijkv1qilcjhbgcioijiuzi1nij9 eyjlehaioiixndg5njazndqwiiwibmftzsi6ikphbwvziejvbmqilcjhzg1pbii6dhj1 ZSwidXNlcklkIjogImIwOGY4NmFmLTM1ZGEtNDhmMi04ZmFiLWNlZjM5MDQ2NjBiZCJ9 Generowanie podpisu w jwt-async Podpisanie ładunku i uzyskanie tokenu: router.get('/generate-jwt', function(req, res, next) { var header = '{"typ":"jwt","alg":"hs256"}'; var payload2 = {"exp":"1489603440","name":"james Bond","admin":true, "userid": "b08f86af-35da-48f2-8fab-cef3904660bd"}; var jwt = new JWT(); // tworzymy instancję jwt, domyślnie jest algorytm HS256 jwt.setsecret('secret'); // ustawiamy sekret jwt.sign(payload2, function (err, data) { // podpisujemy JWT if (err) console.log(err); console.log(data); res.send('cały token wyświetlony w konsoli'); Cały token z podziałem na nagłówek, ładunek i podpis: eyj0exaioijkv1qilcjhbgcioijiuzi1nij9. eyjlehaioiixndg5njazndqwiiwibmftzsi6ikphbwvziejvbmqilcjhzg1pbii6dhj1 ZSwidXNlcklkIjoiYjA4Zjg2YWYtMzVkYS00OGYyLThmYWItY2VmMzkwNDY2MGJkIn0. koe-_iigdbobzsyfziqb45vavbik6atzpklubhxjpqw Pozytywne weryfikowanie podpisu w jwt-async Kod od weryfikowania tokenu: router.get('/verify-jwt', function(req, res, next) { var token= 'eyj0exaioijkv1qilcjhbgcioijiuzi1nij9.\ eyjlehaioiixndg5njazndqwiiwibmftzsi6ikphbwvziejvbmqilcjhzg1pbii6dhj1\ ZSwidXNlcklkIjoiYjA4Zjg2YWYtMzVkYS00OGYyLThmYWItY2VmMzkwNDY2MGJkIn0.\ koe-_iigdbobzsyfziqb45vavbik6atzpklubhxjpqw'; var jwt = new JWT(); // tworzymy instancję jwt, domyślnie jest algorytm HS256 jwt.setsecret('secret'); // ustawiamy sekret jwt.verify(token, function (err, data) { // weryfikujemy JWT if (err) console.log(err); console.log(data); // zdekodowany i zweryfikowany JWT w konsoli res.send('zweryfikowany token wyświetlony w konsoli'); Cały token z podziałem na nagłówek, ładunek i podpis: { header: { typ: 'JWT', alg: 'HS256' }, claims: { exp: '1489603440', name: 'James Bond', admin: true, userid: 'b08f86af-35da-48f2-8fab-cef3904660bd' } } 10

Weryfikowanie podpisu z błędem w jwt-async Kod od weryfikowania tokenu: router.get('/verify-jwt-error', function(req, res, next) { var token= 'eyj0exaioijkv1qilcjhbgcioijiuzi1nij9.\ eyjlehaioiixndg5njazndqwiiwibmftzsi6ikphbwvziejvbmqilcjhzg1pbii6dhj2\ ZSwidXNlcklkIjoiYjA4Zjg2YWYtMzVkYS00OGYyLThmYWItY2VmMzkwNDY2MGJkIn0.\ koe-_iigdbobzsyfziqb45vavbik6atzpklubhxjpqw'; var jwt = new JWT(); // tworzymy instancję jwt, domyślnie jest algorytm HS256 jwt.setsecret('secret'); // ustawiamy sekret jwt.verify(token, function (err, data) { // weryfikujemy JWT if (err) console.log(err); console.log(data); // zdekodowany i zweryfikowany JWT w konsoli res.send('zweryfikowany token wyświetlony w konsoli'); Cały token z podziałem na nagłówek, ładunek i podpis: { [JWTValidationError: JWT is unparsable] name: 'JWTValidationError', message: 'JWT is unparsable' } undefined 1.2.2 Pakiet express-jwt Pakiet express-jwt I Instalujemy dwa pakiety: express-jwt: npm install --save express-jwt jsonwebtoken: npm install --save jsonwebtoken Dołączamy je do projektu: var expressjwt = require('express-jwt'); var jsonwebtoken = require('jsonwebtoken'); Dodajemy do projetku JWT jako warstwę pośrednią, która będzie sprawdzać czy dostęp do adresu URL jest uwierzytelniany tokenem. Podajemy od razu adresy URL nie wymagające tokenu. app.use(expressjwt({ secret: "secret" }). unless({ path: ['/login', '/getstudents', '/loggers'] })) Pakiet express-jwt II Obsługa adresu /login, który, w przypadku poprawnych danych, zwraca JWT użytkownikowi app.post('/login', function(req,res){ if(!req.body.username){ res.status(400).send('potrzeba nazwy użytkownika'); return; } if(!req.body.password){ res.status(400).send('potrzeba jeszcze hasła'); return; } Loggers.findOne({username: req.body.username}, function(err, logger){ if(logger.password==req.body.password) { var token = jsonwebtoken.sign({ username: req.body.username }, 'secret'); res.status(200).json(token); } else { res.status(401).send('błędne hasło'); } 11

Pakiet express-jwt III Pakiet express-jwt IV Pakiet express-jwt V 12

Pakiet express-jwt VI 2 Źródła Źródła https://jwt.io/ https://en.wikipedia.org/wiki/base64 https://medium.com/vandium-software/5-easy-steps-to-understanding-json-web-tokens-jwt-1164c0ad https://scotch.io/tutorials/the-anatomy-of-a-json-web-token https://www.iana.org/assignments/jwt/jwt.xhtml https://scotch.io/bar-talk/the-ins-and-outs-of-token-based-authentication https://feedersec.github.io/jwt/2016/10/15/mac-algorithm-key-for-jwt.html 13

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres