Firmando un JWT

Clase 8 de 39 • Curso de Autenticación con OAuth

Resumen

Para generar y firmar un JWT de manera simétrica vamos a instalar las siguientes dependencias:

npm i -S express dotenv jsonwebtoken body-parser

La librería dotenv nos permite crear archivos .env con la información que no podemos publicar de nuestro proyecto, por ejemplo, la llave secreta de nuestro JWT. Por otra parte, la librería jsonwebtoken nos permite firmar nuestros tokens de manera simétrica.

Con nuestras dependencias instaladas y los archivos .env configurados, podemos programar nuestra aplicación, en esta clase vamos a crear un endpoint /api/auth/token donde debemos generar un token de usuario utilizando el método jwt.sign().

JOSE LUIS DAMIAN SAAVEDRA

student•

Sólo una acotación.

Las versiones recientes de express, incorporan un middleware llamado "json", por lo cual no sería necesario instalar al proyecto la dependencia "body-parser". Lo pueden utilizar de la siguiente forma:

const express = require("express");

const app = express();

app.use(express.json());

Saludos!

Kevin Nick Pascual Tuesta

student•

Gracias por la info ahora a desaser espacio en mis proyectos.

Sebastian Rojo

student•

Generar AUTH_JWT_SECRET rápido y fácil en Linux

echo $(date) "$RANDOM"  | sha256sum

Pablo Joaquín Cruz

student•

genio! me ahorraste la googleada

Rulo Code

student•

Puedes generar la cadena de 256 bit aquí en la opción SHA 256-bit Key

Héctor Tello

student•

Muchas gracias amigo.

Ariel Jacob

student•

Este curso está bueno para aquello dedicados a la programación, o quienes se enfocarán en servicios. Para hacking ético, debería hacerse un curso de Autenticación OAuth cuyo proyecto sea el hackeo de los tokens. Que todo lo explicado se oriente a:

cómo detectar los JWT/cookies en el tráfico web (Burp Suite, etc)
cómo decodificarlos, cómo identifiacr las codificaciones, o si hay algo anormal como medidas de seguridad extra (de nuevo, en BurpSuite u otros)
cómo modificar los campos y firmar para quebrar la seguridad del token, cuándo es posible y cuándo no. Técnicas hacking de acceso a servicios quebrando la autenticación y autorización.
Ejemplos del mundo real; ejemplos en laboratorio con aplicaciones web vulnerables (Juice Shop, DVWA, etc)
Un largo ETC

Javier Ramos

student•

Ir al Api Construirlo desde cero ver de que librerias depende implementar

npm i -S express dotenv jsonwebtoken body-parser
dotenv: Donde se registra el secret
jsonwebtoken : Es la libreria que permite firmar y verificar el JWT
body_parser: Leer el body tipo jason del usuario que comparte el token
Esto se debe correr dentro del API
Se crea archivo .gitgnore para no enviar los archivos .env y la carpeta node_modules sea enviados al repositorio
se crea archivo .env.example y en el se crea la variable AUTH_JWT_SECRET=
Se copia el archivo .env.example y lo renombramos como .env
Se crea la carpeta config y dentro de ella requerimos la libreria dotenv y dentro de ella metemos la variable de entorno authJwtSecret

Carlos Enrique Ramírez Flores

student•

En los enlaces de la clase pasada Guillermo compartio esta website https://keygen.io/#fakeLink para generar las cadenas de 256. SHA 256-bit Key

Edinson Arteaga

student•

Los hashes son funciones no reversibles y que permiten generar una secuencia de bits a partir de una entrada, por tanto se supone son funciones unidireccionales es decir que a partir de hash no debería ser posible la obtención del contenido que genero ese hash, sin embargo, entre los métodos que se usan para vulnerarlos son: La fuerza bruta generar hashes con diferentes cadenas hasta encontrar la coincidencia de hashes o las tablas ya generadas donde se busca el hash previamente generado.

José de Jesús Aguirre Osuna

student•

Hay manera de generar un refresh token en un JWT ?

Guido Ortega

student•

según el libro de JWT que esta en la pagina jwt.io, no es necesario que tu refresh token sea un JWT, bastaría uuid

Guido Ortega

student•

JWTs may also be used for refresh tokens. There is less reason to use them for this purpose, though. As refresh tokens require access to the authorization server, most of the time a simple UUID will suffice, as there is no need for the token to carry a payload (it may be signed, though).
esta al inicio de la pagina 20

Walter Lensinas

student•

Hago una consulta, ¿saben por que al quitar la clave de 256 bit igual dice que es valido el token o es un bug del sitio jwt.io?

Guillermo Rodas

teacher•

Hola el posible que sea un bug, mi recomendación es volver a copiar el token en el lado izquierdo y deberia reconocer que esta mal.

Melina Jacqueline onoriaga

student•

Donde puedo generar una cadena aleatoria de 256 byte ?

Mati Beltramone

student•

https://keygen.io/

Nadir Antonio Soza Solis

student•

Salio a la primera.. Excelente explicación :)

{
    "acess_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWRpcnMxNCIsImVtYWlsIjoibmFkaXJzczE0QGdtYWlsLmNvbSIsIm5hbWUiOiJOYWRpciBTb3phIiwiaWF0IjoxNTU4OTg0NTg5fQ.BHWCn5DEe9qRQ-mi secreto"
}

Eduardo Ortiz

student•

Buenas, favor su ayuda

<pre>Cannot POST /api/auth/token</pre>

a pesar de que esta corriendo [nodemon] starting node index index.js y en el index esta

app.post("api/auth/token" , function(req, res) { const {email,username,name} = req.body; const token = jwt.sign( { sub: username , email, name} , config.authJwtSecret); res.json({acess_token: token}) });

John Orellana

student•

hola compañeros, si al momento de hacer debuggin del acces_token en JSON Web Tokens les aparece justo en payload solo el campo ( "iat": 1660111605) es porque el acces_token no esta completo y esto podría ser que en postman donde seleccionados el campo (row) a la par de GraphQl esta el formato de como se puede mostrar el acces_token tiene que ser en formato JSON, si no te va dar el acces_token erróneo y al momento de debbugear tendrás ese problema

John Orellana

student•

aquí también pueden generar su clave https://www.online-convert.com

Luis Carlos Kristen Ospitia

student•

me genera error al hacer el post

Error: secretOrPrivateKey must have a value&lt;br&gt; &amp;nbsp; &amp;nbsp;at Object.module.exports [as sign] (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/jsonwebtoken/sign.js:107:20)&lt;br&gt; &amp;nbsp; &amp;nbsp;at /mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/index.js:13:23&lt;br&gt; &amp;nbsp; &amp;nbsp;at Layer.handle [as handle_request] (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/layer.js:95:5)&lt;br&gt; &amp;nbsp; &amp;nbsp;at next (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/route.js:137:13)&lt;br&gt; &amp;nbsp; &amp;nbsp;at Route.dispatch (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/route.js:112:3)&lt;br&gt; &amp;nbsp; &amp;nbsp;at Layer.handle [as handle_request] (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/layer.js:95:5)&lt;br&gt; &amp;nbsp; &amp;nbsp;at /mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/index.js:281:22&lt;br&gt; &amp;nbsp; &amp;nbsp;at Function.process_params (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/index.js:335:12)&lt;br&gt; &amp;nbsp; &amp;nbsp;at next (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/index.js:275:10)&lt;br&gt; &amp;nbsp; &amp;nbsp;at jsonParser (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/body-parser/lib/types/json.js:119:7)&lt;/pre&gt;

Carlos Enrique Ramírez Flores

student•

Puedes compartir tu código, porfa para echarle un ojo!

Migdualy Alejandra Gonzalez Martinez

student•

debes quitarle al archivo .env la parte de example

Nadir Antonio Soza Solis

student•

Que es el valor "iat": ####### que apareció dentro de mi payload al hacer el debuger de mi token

Lorgio Ricardo Trinidad Caro

student•

Se trata del Claim Issued At, mas info aqui

https://www.iana.org/assignments/jwt/jwt.xhtml

Alan Jackson Duarte Marroquin

student•

es la fecha y hora actual en formato timestamp

Maria Angelica Romero Carrasco

student•

Como puedo escribir

require('dotenv').config()

const config = {
    authJwtSecret: process.env.AUTH_JWT_SECRET
}

module.exports = { config }

en ES6

Guillermo Rodas

teacher•

Lo que pasa es que ese archivo lo lee directamente Node, no esta pasando por un transpilador como babel.

La unica manera seria que usaras una version mucho mas moderna de Node y que habilitaras el flag para user ESM. (ES6 Modules), pero todavia es experimental asi que no se recomienda para producción.

Más info:
https://nodejs.org/api/esm.html

Raul Gomez

student•

mano a la obra!!

ALVARO RODRIGUEZ TAMEZ

student•

Muy interesante.

Edgar Colon

student•

Agregue esta linea para poder parsear el body del request: app.use(bodyParser.urlencoded({ extended: true }));

Guillermo Rodas

teacher•

Si, pero tienes que tener cuidado porque todo depende de la manera como le envies los datos al request, si los envias como json, necesitas bodyParser.json() si los envias como url encoded (application/x-www-form-urlencoded) es decir si los valores los envias en tuplas separados por “&” y “=”.

Más info: https://developer.mozilla.org/es/docs/Web/HTTP/Methods/POST