Verificando nuestro JWT firmado y buenas practicas con JWT

Clase 9 de 39 • Curso de Autenticación con OAuth

Resumen

Gracias a la librería jsonwebtokens también podemos validar nuestros JWT utilizando el método jwt.verify(), en esta clase vamos a crear un nuevo endpoint (/api/auth/verify) donde debemos devolver el el nombre de usuario que encontramos si el token que verificamos es valido. En caso de que el token no sea valido, vamos a devolver un error utilizando el método next() de la librería express.

Buenas prácticas al utilizar JWT:

Nunca transmitir información sensible: Recuerda que los JWT son completamente decodificables, su seguridad no esta en la encripción de datos que transmitimos por los tokens sino en la validación frente a nuestros servidores. Toda la información que transmitimos por JWT debe ser tratada como si fuera enviada por texto plano.
Mantener los tokens pequeños: Los JWT NO son un medio de transmisión de datos, su única responsabilidad es verificar la autenticación de nuestros usuarios. para obtener la información de nuestros usuarios debemos crear nuevos endpoints en la API de nuestra aplicación que, por su puesto, solo deben ser disponibles si enviamos un token valido.
Configurar tiempos de vida de muy cortos: El tiempo de vida de nuestros tokens son el tiempo en que podemos utilizarlos, la recomendación son máximo 15 minutos. Entre más grande sea este tiempo, más tiempo tienen quienes quieran cometer ataques a nuestra aplicación.
Crear JWT opacos: Nunca es una buena idea decodificar nuestros tokens desde el cliente o frontend de nuestra aplicación, recuerda que este código es completamente público y corremos el riesgo de que alguien más acceda a las llaves privadas de nuestra aplicación.

José Carlos Quichiz Santome

student•

Pregunta, si yo hiciera caducar los tokens cada 15 minutos, como podria implementar una sesion de larga duracion para un cliente?

Guillermo Rodas

teacher•

Mediante un refresh token, voy a agregar un lectura sobre ellos en los proximos dias mientras tanto puedes consultar mas información aqui: https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/

Kennedy ${{7*7}} Sanchez ${7*7}

student•

Derivada de la pregunta anterior me surge la siguiente. Sería una buena práctica hacerlo?

Carlos Eduardo Gomez García

teacher•

Curioso, hay una librería para PHP llamada Laravel Passport, sé que está librería usa por debajo a la librería de JWT para PHP, aunque lo que se me hace curioso es que los Personal Access Tokens tienen una duración mínima de un año, no sé cual sea la diferencia entre un Personal Access Token y un JWT...

Fredy Ricardo Cortés Ramírez

student•

¿Cómo podría implementar el cifrado asimétrico de la autenticación con Json Web Tokens?, ya que es la forma que tu recomiendas.

Enrique Tecayehuatl

student•

Lo que no me queda claro es: ¿En cada request el json web token debe de viajar al servidor también? Y ¿como sabe el servidor cuando un token ha expirado? Creo que la última pregunta se responde respondiendo la primera, pero bueno, esas son mis duda, no concibo conectar los cables.

Carlos Valdez

student•

Requieres enviar el token al servidor en cada petición ya que de lo contrario no tendrías forma de saber quien se esta conectando.

En el token puedes agregar una propiedad llamada "exp" o ExpireIn - Expiration Time en donde indicas en cuanto tiempo el token será inválido y cuando aplicas el método de jwt.Verify tambien validará que este dentro del rango correcto.

Enrique Tecayehuatl

student•

Y en el caso de que este activamente usando la aplicación todo el día(un decir) y que mi jwt haya sido configurado 15 minutos, el servicio que verifica me dice que ha expirado, ¿cada 15 minutos debo de hacer login?

Roderick Lagunas

student•

He tratado de buscar por todos lados a que se refiere específicamente la palabra Opaco, es algún mecanismo, es algún estándar, es algún algoritmo, es solo una definición para un concepto, debe seguir alguna convención, existen alguna forma de determinar si un token es opaco o no.

Cesar Gonzalez Groh

student•

Entiendo que "opaco" se refiere a que el payload no lleve información sensible. Como por ejempo el password del usuario. Si lo que lleva es un id del usuario sería "opaco" porque no te dice nada

Elvis Salvatierra

student•

Bueno dentro del contexto que lo dijo, me da a entender que se refiere a que nunca coloques una clave secreta dentro del cliente y que la tengas mas bien del lado del servidor, ya que este es un ambiente seguro y esta bajo tu control y un cliente NO, entonces tu invocas un servicio de autenticacion que te devuelve un access_token y si tu quieres información, asi sea el nombre, no lo saques de ese access_token, mas bien envia como parametro ese valor a un servico que te devuelva informacion del cliente, por ejemplo GET /api/client?access_token=12345678 y que este internamente decifre el access_token verifique si es valida la firma y si no ha expirado y por ultimo que devuelva un json con la informacion que necesites, caso contrario devuelve error en autenticacion si el access_token no es valido.

Jordi Santamaría Portolés

student•

platzi, igual como la mayoria de servicios no usan jwt? o es que lo guardan en algun lugar k no sea local storage?

Jordi Santamaría Portolés

student•

mm hay algo mas k no me ha quedado claro, si un token es para poder hacer login de sesion, no es mejor que se mantenga mucho tiempo para que un usuario el dia siguiente no tenga kvolver a hacer login?

Edwar Baron

Team Platzi•

Hola, usan otra tipo de autenticación, no todos usan jwt.

En local storage, si se guardan normalmente ciertas cosas de manera ofuscada.

Carlos Enrique Ramírez Flores

student•

En mi trabajo siempre se están quejando de que las sesiones duran muy poco, "SEÑORES TENGO 4HRs" de session y ellos quieren que dure todo un día!

Juan Camilo Palacio

student•

Cuando en el FrontEnd manejamos variables de entorno, es posible acceder igual a esa variable de alguna manera?

michael rodriguez

student•

hola mundo

const resp= que pedo rasa```

michael rodriguez

student•

fvbgh

Diego Efrain Cardenas Diaz

student•

Este enfoque es valido para aplicaciones móviles? como mantendría una sesión activa?

Massimo Di Berardino

student•

¡Hola @daraka! Sí es válido, al igual que en el navegador mantienen la sesión activa almacenando el token en el cache y utilizándolo en los distintos request

Juan Antonio Aquino Garcia

student•

Pregunta: Es recomendable usar JWT para las pruebas donde tengo una key muy sencible, no guarda esos token la pagina?, habria una solución de paga similar o mejor?

Kennedy ${{7*7}} Sanchez ${7*7}

student•

JWT Format

[Base64-URL encoded header].[Base64-URL encoded payload].[Signature]

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.XbPfbIHMI6arZ3Y922BhjWgQzWXcXNrz0ogtVhfEd2o

Header: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
Payload: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
Signature XbPfbIHMI6arZ3Y922BhjWgQzWXcXNrz0ogtVhfEd2o

José Valentin Salina Peña

student•

Esta validación del token incluye la duración? En caso de estar expirado falla??

Guillermo Rodas

teacher•

Si, en caso de tenerla la valida:

The callback is called with the decoded payload if the signature is valid and optional expiration, audience, or issuer are valid. If not, it will be called with the error.

Más info:
https://github.com/auth0/node-jsonwebtoken#jwtverifytoken-secretorpublickey-options-callback

Juan D. Martin

student•

Buenas, creo que todavía no me queda claro en que se utilizaría el json web token, o este tipo de validaciones, en que ejemplo práctico se utilizaría?

Flor Dulcinea Peña Campos

student•

¿Cómo se crea un token bearer y cuál es la diferencia?

Carlos Eduardo Gomez García

teacher•

¡Hola!, básicamente los tokens se crean con la librería de JWT para el lenguaje que elijas, el hecho de que sea Bearer define que cualquier que tenga ese token va a poder realizar acciones dentro del sistema, básicamente no deja de ser un token, la diferencia está en la autorización que le damos a ese token del lado del servidor, te recomiendo darte una lectura por aquí para entenderlo mejor:

https://swagger.io/docs/specification/authentication/bearer-authentication/

Flor Dulcinea Peña Campos

student•

Este que estamos creando es un JWT opaco? ¿al estar dentro de express, estamos del lado del servidor y no del cliente?

Carlos Eduardo Gomez García

teacher•

Así es, aquí estamos levantando un servidor (backend) con NodeJS y epress, así que cualquier token que se genere aquí es seguro, ya que no estamos trabajando nada del lado del cliente :D