Protegiendo nuestros recursos con JWT

Clase 11 de 39 • Curso de Autenticación con OAuth

Resumen

Actualmente utilizamos dos algoritmos de cifrado para proteger nuestros JWT: RS256, donde necesitamos una llave publica y una privada para validar la información desde el servidor y el cliente (utiliza la RSA Signature con SHA-256), y HS256, donde tenemos un poco menos de seguridad ya que, utilizamos a misma llave para generar y validar los tokens (utiliza el HMAC también con SHA-256).

Emmanuel Octavio Martinez C

student•

Yo lo hice en Python, usando Django y una libreria que se llama pyjwt

Cristian David Franco Garcia

student•

https://auth0.com/blog/navigating-rs256-and-jwks/

Camilo Ramirez

student•

El reto lo intenté hacer lo más sencillo posible.

En este sitio generé las llaves públicas y privadas usando esta configuración, tambien las puedes generar "a palo":
Modifico el API de esto:

app.post("/api/auth/token", function(req, res) {
  const { email, username, name } = req.body;
  const token = jwt.sign({ sub: username, email, name }, config.authJwtSecret);
  res.json({ access_token: token });
});

a esto

app.post("/api/auth/token", function(req, res) {
  const { email, username, name } = req.body;
  const token = jwt.sign({ sub: username, email, name }, config.jwtPrivateKey, { algorithm: 'RS256'});
  res.json({ access_token: token });
});

Camilo Ramirez

student•

El sitio: https://mkjwk.org/

Fabricio Orrala

student•

¿Cómo guardaste jwtPrivateKey en el .env? ¿Necesitaste editar también otra cosa? ¿Me puedes mostrar como queda el .env?

Jose de Jesus Herrera Ledon

student•

RS256 Jason Web Key Set https://YOUR_DOMAIN/.well-known/jwks.json

https://auth0.com/docs/secure/tokens/json-web-tokens/json-web-key-sets

Alexis Alberto Texis Auza

student•

Podrias hacernos una lectura donde puedas explicar como implementar refresh token,ya que he leido en varios posts y blogs como implementarlo sin embargo no se si sea la mejor forma?

Guillermo Rodas

teacher•

Hola AlexGarrixen, podrias incluir aquí las referencias que has encontrado, asi yo puedo revisarlas y darte una mejor opinion?

Guillermo Rodas

teacher•

Hola, este es un ejemplo que recomiendo: https://solidgeargroup.com/refresh-token-with-jwt-authentication-node-js

Ameth Ordoñez Erazo

student•

Resumen: JWT usa dos formas de cifrado:

RS256: 🔑🔑 Un algoritmo de cifra asimétrico, que utiliza dos llaves (una pública y una privada). Es como si una puerta utilizara una llave para poner el seguro (la pública) y otra para abrir ese seguro (la privada), no se puede utilizar una para realizar la función de la otra.🔑

El servidor utiliza la llave privada para cifrar el mensaje y generar la firma. El cliente, que va a utilizar el token utiliza la llave publica (que se la envia el servidor) se utiliza para válidar la firma del token.
La llave publica solo sirve para comprobar que el token es válido, no sirve para firmarlo, solo es posible hacerlo con la llave privada.
Por este motivo, si se llegan a robar la llave pública, no hacen nada con ella, pues solo sirve para comprobar el token, nada más…🤡

HS256: 🔑 Un algoritmo de cifra simétrico. Es decir, que se usa solo una llave para realizar la firma y comprobarla. Es como funcionan las llaves de los candados tradicionalmente, la misma llave sirve para poner y quitar el seguro.🔐

Si se llega a perder la llave, se puede utilizar para generar y firmar un token y suplantar a un cliente, así como si se pierden las llaves de la casa, pueden usar esa llave para abrir la puerta y entrar 😰

En conclusión: Si el dueño de la aplicación tiene control sobre el servidor y los clientes, puede usar el algoritmo HS256. Si no tiene control sobre los clientes, debe usar el algoritmo RS256.

Manuel Rodríguez

student•

Si es correcto.

Johan Avila

student•

Este es el standard que se menciona https://tools.ietf.org/html/rfc7517#section-4

Ronald Miller Andrade Lázaro

student•

Challenge completado, no utilice bodyparser ya que se encuentra deprecated

https://github.com/ronmiand/jwt-api-js

Jordi Santamaría Portolés

student•

A que se refiere con tener control sobre los clientes, el cliente es el navegador de un usuario no? como vas a tener control sobre su navegador....

Edwar Baron

Team Platzi•

Hola, estás en lo cierto, pero pesemos en algo, si es software empresarial privativo, una aplicación que usas para gestionar algo en un empresa por ejemplo, los clientes (navegadores) si podrían ser controlados.

Jair Israel Avilés Eusebio

student•

No necesariamente un cliente es un agent UI tipo web browser. En un entorno de microservicios, un microservicio puede servir a otro de estos.

John Orellana

student•

hola , conforme al reto del profe lo que hay que hacer es crear una llave privada y una publica las llaves serian estas de ejemplo:

y la otra seria la publica:

una vez hechas las vas a colocar en el archivo .ENV que creamos, ejemplo de las llaves : private_key = (la llave privada) y public_key = (la llave publica) estas llave tienen que tener comillas " " luego agregarlas en el config para llamarlas luego.

luego harmos la peticion post para la private key y para la publica la peticion get o veryficacion

luego iremos a postman para firmarla enviando en el body los respectivos cleim

al generarse la firma vamos a jwt.iote para debbuger colocamos la firma y usaremos la llave privada de nuestro archivo .env para verificar que la firma es valida y listo

de esa manera lo hice, disculpa por todo ese texto jajaja solo que me perdi en como resolver el reto y me costo el poder realizarlo espero que ayude 🤗

John Orellana

student•

perdón para verificar la firma no es la llave privada es la publica

Elvis Salvatierra

student•

listo! https://github.com/ismaelviss/oauth2 me base en parte de los ejemplos detallados en otros comentarios.

Victor Israel Torrecillas Garcia

student•

Cuando se hace la decodificacion en https://jwt.io/ lee que el algoritmo es RS256 y en la parte de VERYFY SIGNATURE da opcion de poner las dos llaves dependiendo el caso:

Public Key or Certificate. Enter it in plain text only if you want to verify a token , Private Key. Enter it in plain text only if you want to generate a new token. The key never leaves your browser.

David Vargas Domínguez

student•

Cuándo usar el algoritmo HS256 o RS256

Juan Pablo Perez

student•

Hola como lo dijeron se usa el HS256 cuando se tiene control del cliente y el RS256 cuando no

Maria Angelica Romero Carrasco

student•

Se puede usar un encriptado SHA512?

Guillermo Rodas

teacher•

La pregunta es muy abierta, pero si.

Más info:
https://docs.microsoft.com/en-us/dotnet/api/system.security.cryptography.sha512?view=netframework-4.7.2
https://medium.com/@davidtstrauss/stop-using-sha-256-6adbb55c608

David Vargas Domínguez

student•

Cuándo usar HS256 o RS256

Javier Ramos

student•

OK nadie ha hecho el reto. veamos cuanto me demoro

Alvaro Gonzalez

student•

Como se hace con un api, que se require consumir por los mobiles, apple, google etc, com se hace uso del Cors …?

Alvaro Gonzalez

student•

Dado que esto no es recomendado para produccion ? >> app.use(cors());

Guillermo Rodas

teacher•

El CORS solo aplica para codigo que se ejecuta desde un navegador (Chrome, Firefox, Safari, etc), en el caso mobile, no deberia ser necesario implementarlo.

Pedro Manuel Salas Galindo

student•

haber me dicen si mi idea esta correctamente de los jwt simetricos y asimetricos

los simetricos es la misma llave del lado del cliente y del lado del servidor por ejemplo una api rest que esta alimentando varios tipos de clientes como lo seria una app en (android,ios) un website .. etc a esto te refieres cuando mencionas le del cliente osea que tu eres dueño de cliente / servidor

los asimetricos es para que no tengas que darle a tus clientes osea a los que generaron las apps de (android,ios) el website o que estan cosumiendo tus servicios tu clave privada .. lo que haces es generar una clave privada con la que generas los tokens y una clave publica a los que usaran tus servicios asi no hay riesgo de que alguien mas genere tus tokens

o me equivoco ?

Everardo Sánchez

student•

Te recomeindo ver este video desde el min 44:00 (aunque si lo ves todo sería ideal). Explica muy bien la diferencia entre llaves simétricas y asimétricas. https://www.youtube.com/watch?v=E03gh1huvW4&

Gleycer Parra

student•

Si en el ejemplo anterior con la aplicación express hicimos uso de una generación de token simétrica (debido a que utilizamos sólo un JWT Secret), ¿en qué momento es este secret comprometido al cliente? Entiendo que este secret es únicamente manejado por el servidor y se hashea al generar el token, por ejemplo al no pasarle ningún algoritmo de firmado y guiandome por lo que dice jwt.io se utiliza HMACSHA256. Es decir que es básicamente imposible saber mi secret teniendo el token. O me equivoco?

Jose Galbis Soler

student•

Sinceramente no entendí el Challenge, te refieres ha hacer un JWT, con la clave asincrona, o con la clave sincrona? Es decir, hacer lo mismo que hiciste en las clases pasadas, pero con la clave asincrona?

Massimo Di Berardino

student•

Hola @galbis, sí es reto de la clase es hacer lo mismo que las clases pasada pero con la clave asincrona :)