Manipulando JWT em apis Laravel
EduardoCesar10
3,540 views
54 slides
Jul 21, 2018
Slide 1 of 54
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
About This Presentation
Palestra apresentada na trilha de Arquitetura PHP do TDC São Paulo 2018.
Slide Content
Manipulando JWT em
apis Laravel
EDUARDO CESAR
DESENVOLVEDOR DE SOFTWARE
ZARPSYSTEM
apis Laravel
EDUARDO CESAR
DESENVOLVEDOR DE SOFTWARE
ZARPSYSTEM
Authentication
Authentication is the process of
verification that an individual, entity or
website is who it claims to be.
OWASP
verification that an individual, entity or
website is who it claims to be.
OWASP
Authorization
...generally enforced on the basis of a
user-specific policy, and authentication
is the way to establish the user in
question.
OWASP
user-specific policy, and authentication
is the way to establish the user in
question.
OWASP
Processos para
autenticação
Básicamente duas formas!
●Autenticação baseada em sessões
e cookies
●Autenticação baseada em tokens
autenticação
Básicamente duas formas!
●Autenticação baseada em sessões
e cookies
●Autenticação baseada em tokens
Respostas
HTTP
Sempre condizentes com as
ações
●200 Para casos de sucesso,
●400 Para casos de erros, como
email inválido por exemplo
●404 Para usuários não encontrado
●401 Para usuários não autorizados
●403 Para acesso proíbido
HTTP
Sempre condizentes com as
ações
●200 Para casos de sucesso,
●400 Para casos de erros, como
email inválido por exemplo
●404 Para usuários não encontrado
●401 Para usuários não autorizados
●403 Para acesso proíbido
JWT
Json Web Token
Json Web Token
É uma especificação descrita na RFC
7915, e propõe uma implementação
segura para troca de informações entre
client e server através de objetos json.
7915, e propõe uma implementação
segura para troca de informações entre
client e server através de objetos json.
Como JWT trabalha ?
O que constitui um
token JWT ?
token JWT ?
JWT
Anatomia
●HEADER
●PAYLOAD
●SIGNATURE
Anatomia
●HEADER
●PAYLOAD
●SIGNATURE
Header ?
HEADERS
PAYLOAD ?
PAYLOAD
{
// registered claims
"iss": "a partir de onde o token foi gerado",
"iat": “identifica a hora que foi gerado representada por um timestamp”,
"exp": “define um timestamp de expiração para o token ”,
"nbf": “define um timestamp para que o token não seja processado antes
dele”,
"jti": "é o identificador único deste token JWT ID",
"sub": 1,
// public claims
"prv": "o hash da class User Provider do Laravel",
"role": "uma permissão definida pela aplicação"
}
// registered claims
"iss": "a partir de onde o token foi gerado",
"iat": “identifica a hora que foi gerado representada por um timestamp”,
"exp": “define um timestamp de expiração para o token ”,
"nbf": “define um timestamp para que o token não seja processado antes
dele”,
"jti": "é o identificador único deste token JWT ID",
"sub": 1,
// public claims
"prv": "o hash da class User Provider do Laravel",
"role": "uma permissão definida pela aplicação"
}
SIGNATURE ?
SIGNATURE
Somente o dono da chave secreta poderá alterar
informações contidas no token.
informações contidas no token.
Sua representação
final ….
final ….
TOKEN JWT
HEADER
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
PAYLOAD
eyJpc3MiOiJodHRwOi8vbG9jYWxob3N0OjgwMDAvbG9naW4iLCJpYXQiOjE1MzE0MjA2MzYsImV4cCI6
MTUzMTYzNjYzNiwibmJmIjoxNTMxNDIwNjM2LCJqdGkiOiJRajNsSmRuc3h3UUZpVmUzIiwic3ViIjoxLCJ
wcnYiOiJmNWI5NzNkMjRlNDgxYWE1YzZiYmFjMTEzODIzZWQ5OWE0ZjU3ZjU4Iiwicm9sZSI6ImFkbWlu
In0
SIGNATURE
7efG13q_9uGBUjbmDTIFqv0-ok-Y-EO_syGFK
HEADER
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
PAYLOAD
eyJpc3MiOiJodHRwOi8vbG9jYWxob3N0OjgwMDAvbG9naW4iLCJpYXQiOjE1MzE0MjA2MzYsImV4cCI6
MTUzMTYzNjYzNiwibmJmIjoxNTMxNDIwNjM2LCJqdGkiOiJRajNsSmRuc3h3UUZpVmUzIiwic3ViIjoxLCJ
wcnYiOiJmNWI5NzNkMjRlNDgxYWE1YzZiYmFjMTEzODIzZWQ5OWE0ZjU3ZjU4Iiwicm9sZSI6ImFkbWlu
In0
SIGNATURE
7efG13q_9uGBUjbmDTIFqv0-ok-Y-EO_syGFK
JWT
Considerações em torno de
segurança
●Sempre defina um algoritmo de criptografia no
header, nunca algo do tipo {‘alg’ :’ none’}.
●Situações que exigem mais cuidados considere o
uso de chaves públicas/privadas para assinatura.
●Maior segurança contra ataques do tipo ‘Man in
the middle’.
●Defina um tempo de expiração para o token que
seja aceitável para sua aplicação.
●Utilize técnicas de refresh e invalidate para os
tokens.
Considerações em torno de
segurança
●Sempre defina um algoritmo de criptografia no
header, nunca algo do tipo {‘alg’ :’ none’}.
●Situações que exigem mais cuidados considere o
uso de chaves públicas/privadas para assinatura.
●Maior segurança contra ataques do tipo ‘Man in
the middle’.
●Defina um tempo de expiração para o token que
seja aceitável para sua aplicação.
●Utilize técnicas de refresh e invalidate para os
tokens.
Implementando no
Laravel
Laravel
Laravel JWT-AUTH
Pré requerimentos
Laravel 5.5.*
Jwt-auth 1.0.0-rc.1
Base de dados mysql/postgress ou outro
Instalação
composer create-project --prefer-dist laravel/laravel=5.5.* jwt-auth
composer require tymon/jwt-auth:1.0.0-rc.1
Pré requerimentos
Laravel 5.5.*
Jwt-auth 1.0.0-rc.1
Base de dados mysql/postgress ou outro
Instalação
composer create-project --prefer-dist laravel/laravel=5.5.* jwt-auth
composer require tymon/jwt-auth:1.0.0-rc.1
Laravel JWT-AUTH
Adicionar provider e aliases
Inserir os providers e aliases no arquivo app.php, localizado no diretório
/config
php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Adicionar provider e aliases
Inserir os providers e aliases no arquivo app.php, localizado no diretório
/config
php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Laravel JWT-AUTH
Publish
php artisan vendor:publish
--provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Este comando irá gerar o arquivo jwt.php, localizado no diretório
/config
php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Publish
php artisan vendor:publish
--provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Este comando irá gerar o arquivo jwt.php, localizado no diretório
/config
php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Laravel JWT-AUTH
Generate JWT Secret
php artisan jwt:secret
Este comando irá gerar uma chave secreta que será utilizada no processo
de encriptação do tokenovider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Generate JWT Secret
php artisan jwt:secret
Este comando irá gerar uma chave secreta que será utilizada no processo
de encriptação do tokenovider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Laravel JWT-AUTH
Configurando o arquivo config/auth.php
Os ajustes nesse arquivo se referem ao mecanismo de autenticação, e a
entidade de banco de dados utilizada para verificação de dados.
Configurando o arquivo config/auth.php
Os ajustes nesse arquivo se referem ao mecanismo de autenticação, e a
entidade de banco de dados utilizada para verificação de dados.
Laravel JWT-AUTH
Laravel JWT-AUTH
Criar model user e sua migration
php artisan make:model Domain/Admin/User --migration
Altere a estrutura da migration, para uma estrutura contendo nome,
email,
e senha. Em seguida devemos alterar a model que foi criada.
Criar model user e sua migration
php artisan make:model Domain/Admin/User --migration
Altere a estrutura da migration, para uma estrutura contendo nome,
email,
e senha. Em seguida devemos alterar a model que foi criada.
Laravel JWT-AUTH
Ajuste o model para poder usar JWT
Ajuste o model para poder usar JWT
Laravel JWT-AUTH
Criar o controller
php artisan make:controller /Admin/Auth
php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Criar o controller
php artisan make:controller /Admin/Auth
php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Laravel JWT-AUTH
Adicionando middlewares default da biblioteca
Adicionando middlewares default da biblioteca
Laravel JWT-AUTH
App/Http/Kernel.php
App/Http/Kernel.php
Laravel JWT-AUTH
Adicionando rotas em routes/api.php
Adicionando rotas em routes/api.php
Laravel JWT-AUTH
routes/api.php
routes/api.php
Testando a geração de
token
token
Testando acesso com
o token
o token
Manipulando JWT
Laravel JWT-AUTH
Configurando claims, e tempo de expiração
$token = auth()->guard(‘api’)
->claims(['role' => 'user'])
->setTTL(1800)
->attempt($credentials);
Cria um token adicionando a claim de role, e o tempo de expiração
baseado em segundos.
san vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Configurando claims, e tempo de expiração
$token = auth()->guard(‘api’)
->claims(['role' => 'user'])
->setTTL(1800)
->attempt($credentials);
Cria um token adicionando a claim de role, e o tempo de expiração
baseado em segundos.
san vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Laravel JWT-AUTH
Mais métodos...
auth()->logout(true);
$newToken = auth()->refresh(true, true);
auth()->invalidate(true);
auth()->payload();
san vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Mais métodos...
auth()->logout(true);
$newToken = auth()->refresh(true, true);
auth()->invalidate(true);
auth()->payload();
san vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
Referências
https://bit.ly/2pqH3M6
https://bit.ly/2NTS0ih
https://bit.ly/1Drghjd
https://bit.ly/1B0zHPH
https://bit.ly/2Ju40DQ
https://bit.ly/2L34kPe
https://bit.ly/2uurHqN
https://bit.ly/2LbBbkt
https://bit.ly/2utcztT
https://red.ht/2NvlnX6
https://bit.ly/2pqH3M6
https://bit.ly/2NTS0ih
https://bit.ly/1Drghjd
https://bit.ly/1B0zHPH
https://bit.ly/2Ju40DQ
https://bit.ly/2L34kPe
https://bit.ly/2uurHqN
https://bit.ly/2LbBbkt
https://bit.ly/2utcztT
https://red.ht/2NvlnX6
OBRIGADO A
TODOS!
[email protected]
www.zarpsystem.com.br
github.com/bolinha1
/in/eduardo-cesar-oliveira
EDUARDO CESAR
TODOS!
[email protected]
www.zarpsystem.com.br
github.com/bolinha1
/in/eduardo-cesar-oliveira
EDUARDO CESAR
Categories
TechnologyDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 3,540
- Slides 54
- Favorites 2
- Age 2690 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
44 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
45 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
36 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
33 views
21
Know for Certain
DaveSinNM
19 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
23 views