Verificación de JSON Web Tokens en Node.js

Clase 10 de 25 • Curso de OAuth 2.0 y OpenID Connect: Flujos de Autenticación y Casos de Estudio

Resumen

¿Cómo verificar un JSON Web Token?

La verificación de un JSON Web Token (JWT) es un paso crucial para asegurar la autenticidad y seguridad de las comunicaciones. Utilizando una librería especial, podemos comprobar si el token que recibimos ha sido firmado correctamente y no ha sido alterado. Aquí te explicamos el proceso detallado y simplificado para verificar un JWT en Node.js.

¿Qué necesitamos?

Un JSON Web Token en formato de serialización compacta, que es una cadena de tres partes codificadas en base 64, separadas por puntos.
Un secreto compartido o una llave pública, dependiendo del tipo de algoritmo de firmado (simétrico o asimétrico).
La librería adecuada para manejar JWT.

¿Cómo se verifica un token?

Obtener el Token: Recibe el token desde el header de una solicitud HTTP en el endpoint correspondiente.
Verificar el Token:
- Usa la librería de JWT para verificar la firma del token pasándole el token y el secreto o llave pública.
- Esta operación comprueba si el token es válido y no ha expirado.

// Ejemplo de cómo verificar un token en Node.js
const jwt = require('jsonwebtoken');

// Token y secreto
const token = 'your-jwt-token';
const secret = 'your-secret';

// Verificación
jwt.verify(token, secret, (err, decoded) => {
  if (err) {
    console.error('Error al verificar el token:', err.message);
  } else {
    console.log('Token verificado:', decoded);
  }
});

¿Cómo podemos implementar un firmado asimétrico?

El firmado asimétrico utiliza un par de llaves: una privada para firmar el token y una pública para verificarlo. Esto añade un nivel extra de seguridad, ya que la llave privada nunca se expone.

Pasos para la implementación:

Generación de llaves: Crea un par de llaves con una herramienta como OpenSSL. Las llaves deben estar en formato PKCS8.
Cargar la llave privada: Usa filesystem de Node.js para leer tu llave privada desde un archivo.

const fs = require('fs');
const privateKey = fs.readFileSync('path/to/private.pem', 'utf8');

// Firmado del token
const signOptions = { algorithm: 'RS256' };
const token = jwt.sign(payload, privateKey, signOptions);

Verificar el token con la llave pública: Similar al método de firmado simétrico, pero usando la llave pública.

const publicKey = fs.readFileSync('path/to/public.pem', 'utf8');

// Verificación
jwt.verify(token, publicKey, (err, decoded) => {
  if (err) {
    console.error('Error al verificar token asimétrico:', err.message);
  } else {
    console.log('Token verificado:', decoded);
  }
});

¿Qué consideraciones de seguridad debemos tener?

Llave Pública: Es segura para exponer, ya que su propósito es verificar la firma.
Llave Privada: Debe mantenerse segura y nunca alojarse en lugares accesibles públicamente.
Secretos: Si usas un algoritmo simétrico, mantén el secreto bien protegido y nunca lo compartas ni lo expongas.

Desafíos prácticos

Para profundizar más, se te anima a implementar el proceso de verificación de JWT en otro lenguaje distinto a Node.js. Este ejercicio te permitirá entender mejor los principios de la criptografía involucrados y mejorar tus habilidades multiplataforma.

¡Continúa explorando y aprendiendo más sobre autenticación segura! Este conocimiento es clave para construir aplicaciones más robustas y seguras.

Fernando Hernandez

student•

Alguien dijo... Curso de Criptografia?

Andrés Felipe Lubo Carracedo

student•

✋

Jehison Orostegui

student•

✋

Luis Márquez

student•

¿por qué al verificar solo es necesario la llave pública?

es decir, imagina que cambia el token, un usuario decodifca el payload, lo cambia y lo vuelve a codificar, si se verifica solo con la public no es peligroso? es decir, en ese caso tendriamos que cuidar la llave publica tanto asi como cuidamos la privada y eso suena medio raro la verdad.

Guillermo Rodas

teacher•

Lo qué pasa es que a diferencia del método de encriptación, nosotros estamos es “firmando”.

Es tal como sería firmar un documento, solo tú puedes firmar documentos (tu llave privada) la llave pública solo sirve para revisar que tu firma es correcta (una lupa para ver el detalle de tu firma).

Quien tenga la llave pública solo puede comprobar que la firma es correcta, pero no firmar.

El firmado asimétrico es cómo funciona por ejemplo el protocolo HTTPS / SSH entre otras cosas.

Edgar Rolando Cosajay Campos

student•

queremos curso de criptografia

Bryan Key

student•

(Perdon por lo que van a leer a continuacion)

Bien chicos! Recuerden SIEMPRE que el primer caso de "clave privada" solo es cuando tienes una app "sencilla" cliente-servidor o tu proyecto es un "monolito" PERO cuando es un app que usa microservicios en su arquitectura de servidores ejemplo "hexagonal" estos servicios, se comparten entre SI la clave "publica" y 1 solo servicio tiene la "privada" que es la que autentica a los frontends y luego cuando los frontends van a los otros servicios, estos validan con la "publica" no es que esa clave debe estar en todos lados OJO!

No se rindan, go ahead 💚

JUAN CARLOS PARRA GALAN

student•

quien dijo miedo al curso de criptografia?

Luis Angel Hernandez Barreto

student•

jajajajjaja, me hiciste reir ome

Samuel Gómez Balderas

student•

Curso de criptografía? por su puesto!!! Ojalá sea una realidad!!

Luisa Fernanda Duque Ortiz

student•

claro que queremos curso de criptografía

Ulises Serrano Pérez

student•

Hay que darle al curso de criptografía, sin miedo al exito.

Samuel De La Hoz

student•

Vamos por el curso de criptografia

Angel Javier Sanchez Tenjo

student•

Cargar la Llave privada desde archivo .pem (recomendado)

import java.nio.file.Files;
import java.nio.file.Paths;
import java.security.KeyFactory;
import java.security.PublicKey;
import java.security.spec.X509EncodedKeySpec;
import java.util.Base64;

public class PublicKeyLoader {

    public static PublicKey loadPublicKey(String path) throws Exception {

        String key = new String(Files.readAllBytes(Paths.get(path)))
                .replace("-----BEGIN PUBLIC KEY-----", "")
                .replace("-----END PUBLIC KEY-----", "")
                .replaceAll("\\s+", "");

        byte[] decoded = Base64.getDecoder().decode(key);

        X509EncodedKeySpec spec = new X509EncodedKeySpec(decoded);
        KeyFactory factory = KeyFactory.getInstance("RSA");

        return factory.generatePublic(spec);
    }
}

Servicio de verificación del JWT

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;

import java.security.PublicKey;

public class JwtVerificationService {

    private final PublicKey publicKey;

    public JwtVerificationService(PublicKey publicKey) {
        this.publicKey = publicKey;
    }

    public Claims verify(String token) {

        Jws<Claims> jws = Jwts.parserBuilder()
                .setSigningKey(publicKey)
                .build()
                .parseClaimsJws(token);

        return jws.getBody();
    }
}

Luis Márquez

student•

por qué al verificar solo es necesario la llave pública? es decir, imagina que cambia el token, un usuario decodifca el payload, lo cambia y lo vuelve a codificar, si se verifica solo con la public no es peligroso? es decir, en ese caso tendriamos que cuidar la llave publica tanto asi como cuidamos la privada y eso suena medio raro la verdad.

Guillermo Rodas

teacher•

Lo qué pasa es que a diferencia del método de encriptación, nosotros estamos es “firmando”.

Quien tenga la llave pública solo puede comprobar que la firma es correcta, pero no firmar.

El firmado asimétrico es cómo funciona por ejemplo el protocolo HTTPS / SSH entre otras cosas.

Juan Pablo Bautista Cala

student•

Por fin!! Alguien que piensa en hacer un curso de criptografía, SIUUUUUUU

Mauricio Combariza

student•

Este es el proceso de verificación del jwt de manera simetrica en python para un backend en FastAPI

# Decode function debe devolver informacion teniendo el token

def decodeJWT(token):
        try:
            payload = jwt.decode(token, JWT_SECRET, algorithm=JWT_ALGORITHM)
            return payload
        except jwt.ExpiredSignatureError:
            raise HTTPException(status_code=401, detail='Signature has expired')
        except jwt.InvalidTokenError as e:
            raise HTTPException(status_code=401, detail='Invalid token')

import java.nio.file.Files;
import java.nio.file.Paths;
import java.security.KeyFactory;
import java.security.PublicKey;
import java.security.spec.X509EncodedKeySpec;
import java.util.Base64;

public class PublicKeyLoader {

    public static PublicKey loadPublicKey(String path) throws Exception {

        String key = new String(Files.readAllBytes(Paths.get(path)))
                .replace("-----BEGIN PUBLIC KEY-----", "")
                .replace("-----END PUBLIC KEY-----", "")
                .replaceAll("\\s+", "");

        byte[] decoded = Base64.getDecoder().decode(key);

        X509EncodedKeySpec spec = new X509EncodedKeySpec(decoded);
        KeyFactory factory = KeyFactory.getInstance("RSA");

        return factory.generatePublic(spec);
    }
}

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;

import java.security.PublicKey;

public class JwtVerificationService {

    private final PublicKey publicKey;

    public JwtVerificationService(PublicKey publicKey) {
        this.publicKey = publicKey;
    }

    public Claims verify(String token) {

        Jws<Claims> jws = Jwts.parserBuilder()
                .setSigningKey(publicKey)
                .build()
                .parseClaimsJws(token);

        return jws.getBody();
    }
}

# Decode function debe devolver informacion teniendo el token

def decodeJWT(token):
        try:
            payload = jwt.decode(token, JWT_SECRET, algorithm=JWT_ALGORITHM)
            return payload
        except jwt.ExpiredSignatureError:
            raise HTTPException(status_code=401, detail='Signature has expired')
        except jwt.InvalidTokenError as e:
            raise HTTPException(status_code=401, detail='Invalid token')

Verificación de JSON Web Tokens en Node.js

Introducción a OAuth 2.0 y OIDC

OAuth y OpenID Connect: Autenticación y Autorización Básica

¿Qué es la autenticación?

Autorización y Control de Acceso Basado en Roles

Protocolos Open Authorization y OpenID Connect: Alternativas y Comparación

Protección de Endpoints con Autenticación y Autorización Básica

Flujo de Open Authorization y Open ID con Discord

JSON Web Tokens

JSON Web Tokens: Conceptos, Ventajas y Algoritmos de Firma

Comparación de Sesiones y JSON Web Tokens en Autenticación

Firmado de JSON Web Tokens con Librería JWT en Node.js

Verificación de JSON Web Tokens en Node.js

Open Authorization 2.0

Implementación de flujos OAuth 2.0 con APIs populares

Flujos de Autorización en OAuth 2.0: Conceptos y Funcionamiento

Elección del Flujo Oauth 2.0 según Roles del Cliente y Servidor

Implementación de Authorization Code Flow con Spotify y React

Implementación de Authorization CodeFlow con Proofkit en Twitter API

Implementación de Implicit Flow con Twitch en React

Implementación de Client Credentials Flow en Discord

Implementación de Resource Owner Password Flow con Auth0

Open ID Connect

OpenID Connect: Autenticación sobre OAuth paso a paso

Implementación de Implicit Flow con For Post usando Auth0

Implementación del Hybrid Flow en Autenticación de Aplicaciones

OAuth y OIDC en producción

Buenas prácticas y riesgos de los JSON Web Tokens (JWT)

Implementación Segura de Open Authorization (OAuth)

Autenticación Rápida con NextAlt y GitHub en Next.js

Curso Práctico de Autenticación con Outh Zero