Validación de JSON Web Tokens con Auth0 en Java

Clase 19 de 23 • Curso de Java Spring Security: Autenticación y Seguridad Web

Contenido del curso

Introducción

Configuración de seguridad

Autenticación con BD

Seguridad con JWT

Próximos pasos

Tomar examen

Resumen

¿Cómo validar un JSON Web Token en Java?

En este artículo, exploraremos cómo validar un JSON Web Token (JWT) en Java utilizando la biblioteca Auth0. Esta práctica es crucial para garantizar que los tokens sean auténticos y no hayan sido manipulados. Además, aprenderemos a obtener al usuario al que pertenece el token. ¡Vamos allá!

¿Cómo crear el método isValid?

Comencemos por crear un método que nos permita verificar la validez de un JSON Web Token dentro de nuestra clase JWTUtils. Este método es esencial para mejorar la seguridad de nuestras aplicaciones.

public boolean isValid(String token) {
    try {
        Algorithm algorithm = Algorithm.HMAC256("mi_secreta");
        JWTVerifier verifier = JWT.require(algorithm).build();
        verifier.verify(token);
        return true;
    } catch (JWTVerificationException exception) {
        return false;
    }
}

Detalles del método isValid

Parámetro: El método isValid recibe un String que representa el JSON Web Token que se necesita validar.
Uso de Auth0: Se utiliza la clase JWT y se especifica el algoritmo de encriptación utilizado anteriormente para la creación del token.
Verificación: Si el token es válido, la función verify no producirá errores y regresará true.
Captura de excepciones: La excepción JWTVerificationException indica que el token no es válido, y el método retornará false.

¿Cómo obtener el usuario del token con getUserName?

Otro aspecto importante de la gestión de JWT es poder determinar a quién pertenece un token. Para esto, creamos el método getUserName.

public String getUserName(String token) {
    try {
        Algorithm algorithm = Algorithm.HMAC256("mi_secreta");
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);
        return jwt.getSubject();
    } catch (JWTVerificationException exception) {
        return null;
    }
}

¿Qué hace el método getUserName?

Objeto DecodedJWT: Si el token es verificado correctamente, la función obtiene un DecodedJWT que proporciona una representación legible del token.
Obtención del sujeto: Utilizamos getSubject() para extraer el "subject", que es el usuario dentro del payload del token.
Captura de excepciones: Devolverá null si el token no es válido o si ocurre algún error durante la verificación.

Explorando el JSON Web Token con JWT.io

Para comprender cómo un JWT almacena información, es útil examinarlo visualmente en JWT.io. Al inicio de sesión, puedes reemplazar un token existente con uno válido y ver:

Encabezado: Contiene el algoritmo y tipo de token.
Payload: Incluye la información como el usuario (subject).
Firma: Está generada con secret y garantiza la integridad del token.

Esta herramienta permite verificar rápidamente si los datos se están codificando y decodificando correctamente.

Conclusiones prácticas

Con estos métodos, disponemos de un mecanismo robusto para asegurar que nuestros tokens JWT son válidos y para determinar a quién pertenecen. Esto es vital en cualquier aplicación que use autenticación basada en tokens, ya que asegura que las solicitudes de los usuarios sean válidas y autenticadas. ¡Sigue aprendiendo y mejorando tus habilidades para construir aplicaciones seguras!

Comentarios

Edgar Alejandro España Amaya

student•

Para crear un servicio que valide un JSON Web Token (JWT), se debe implementar un método en la clase JWT Utils llamado isValid. Este método recibe un JWT como parámetro y verifica su validez usando la librería Auth0.

Se especifica el algoritmo de encriptación utilizado.
Se utiliza el método verify que lanza una excepción si el token no es válido.
Se envuelve el proceso en un bloque try-catch:
- Si se lanza una JWT verification exception, se retorna false.
- Si la verificación es exitosa, se retorna true.

Esto asegura que el token no haya sido modificado y que siga siendo válido.

ANDRES ALFONSO MIRA MEJIA

student•

✅

Luis Manuel Cacuango Gonza

student•

No sería mas eficiente y seguro si enviamos la clave secreta desde application.propertires?

@Component
public class JwtUtil {
    @Value("${jwt.secret}")
    private String SECRET_KEY;
    private Algorithm ALGORITHM;

    @PostConstruct
    public void init() {
        this.ALGORITHM = Algorithm.HMAC256(SECRET_KEY);
    }

Edwin Logreira Gonzalez

student•

Cómo hariamos para manejar JWE adicional a JWT en el caso de seguridad de microservicios ?

Alexander Coronell

student•

JwtUtil

package com.platzi.pizzeria.web.config;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.concurrent.TimeUnit;

@Component
public class JwtUtil {
    private static String SECRET_KEY = "pl4tz1_p1zz4";
    private static Algorithm ALGORITHM = Algorithm.HMAC256(SECRET_KEY);

    public String create(String username) {
        return JWT.create()
                .withSubject(username)
                .withIssuer("platzi-pizza")
                .withIssuedAt(new Date())
                .withExpiresAt(new Date(System.currentTimeMillis() + TimeUnit.DAYS.toMillis(15)))
                .sign(ALGORITHM);
    }

    public boolean isValid(String jwt) {
        try {
            JWT.require(ALGORITHM)
                    .build()
                    .verify(jwt);
            return true;
        } catch (JWTVerificationException e) {
            return false;
        }
    }

    public String getUsername(String jwt) {
        return JWT.require(ALGORITHM)
                .build()
                .verify(jwt)
                .getSubject();
    }
}

Book Media

student•

Si alguno nota que no le aparece el JWT en postman lo que pueden hacer es que se los imprima la consola con

System.out.println(jwt)

Esa linea la agregan en el authController justo antes del return

Leonardo Espejo

student•

no me aparece el token en 'Authorization' lo agrego pero no captura nada, que debo hacer?

Paul Cortés Quijano

student•

A un lado a la Izquierda en Autorization, debes agregar el tipo de autorizacion eso agrega la cabecera, tambien puedes agregarla manualmente con el valor que quieres enviar.

Emily Menchú

student•

Se encuentra en los headers de la respuesta. Abajo puedes ver que hay una barra y headers se encuentra al lado de Cookies

@Component
public class JwtUtil {
    @Value("${jwt.secret}")
    private String SECRET_KEY;
    private Algorithm ALGORITHM;

    @PostConstruct
    public void init() {
        this.ALGORITHM = Algorithm.HMAC256(SECRET_KEY);
    }

package com.platzi.pizzeria.web.config;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.concurrent.TimeUnit;

@Component
public class JwtUtil {
    private static String SECRET_KEY = "pl4tz1_p1zz4";
    private static Algorithm ALGORITHM = Algorithm.HMAC256(SECRET_KEY);

    public String create(String username) {
        return JWT.create()
                .withSubject(username)
                .withIssuer("platzi-pizza")
                .withIssuedAt(new Date())
                .withExpiresAt(new Date(System.currentTimeMillis() + TimeUnit.DAYS.toMillis(15)))
                .sign(ALGORITHM);
    }

    public boolean isValid(String jwt) {
        try {
            JWT.require(ALGORITHM)
                    .build()
                    .verify(jwt);
            return true;
        } catch (JWTVerificationException e) {
            return false;
        }
    }

    public String getUsername(String jwt) {
        return JWT.require(ALGORITHM)
                .build()
                .verify(jwt)
                .getSubject();
    }
}

Validación de JSON Web Tokens con Auth0 en Java

Introducción

Protección de aplicaciones con Spring Security

Configuración de Spring Security: Autorización y Autenticación

Configuración de Spring Security en Proyectos Java con Gradle

Autenticación Básica con Spring Security por Defecto

Configuración de seguridad

Configuración de Seguridad con Spring Security y Basic Authentication

Funcionamiento del Basic Authentication Filter en Spring Security

Deshabilitar protección CSRF en APIs REST con Spring Security

Configuración de CORS en Spring Security para APIs y Frontend

Configuración de Reglas de Acceso en Spring Security

Creación de usuarios personalizados en Spring Security

Creación y Gestión de Roles y Permisos en Aplicaciones Web

Autenticación con BD

Creación y Gestión de Usuarios en Base de Datos con Spring Security

Implementación de User Detail Service en Spring Security con MySQL

Asignación de Roles y Permisos en Spring Security

Permisos Específicos con Authorities en Spring Security

Seguridad de Métodos en Spring Security: Control de Accesos por Roles

Seguridad con JWT

Creación y Uso de JSON Web Tokens en Java con Auth0

Implementación de Autenticación con JSON Web Tokens en Spring Boot

Validación de JSON Web Tokens con Auth0 en Java

Creación de Filtro de Seguridad JWT en Spring Security

Implementación de JSON Web Token en Spring Security

Próximos pasos

Auditoría de Usuarios con Spring Security y Data JPA

Configuración y Personalización de Spring Security