Firmando y Verificando nuestro JWT

Clase 7 de 39 • Curso de Autenticación con Passport.js 2019

Resumen

Para firmar nuestro token utilizaremos un paquete de node llamado jsonwebtoken y al usarlo en nuestro código se verá de esta manera:

jwt.sign({ sub: user.id }, 'secret', options);

El primer atributo que recibe es el payload o sea los datos que guardaremos en ese token. De segundo atributo recibe una clave secreta con la cual será firmado y finalmente podremos pasarle opciones si es nuestro caso.

Para verificar nuestro token lo haremos de la siguiente manera:

jwt.verify(token, 'secret', function(err, decoded){});

Como primer atributo recibiremos el token, de segundo atributo el secreto de la firma y como tercer argumento (opcional) recibiremos el token decodificado.

Vamos a inicializar nuestro proyecto con npm init -y
Crearemos el archivo index.js
Vamos a instalar los paquetes necesarios con npm i jsonwebtoken
En el index.js vamos a hacer toda la lógica de nuestra aplicación

Jesús Miguel Quinto Teran

student•

Que elegante es JWT.

Jonathan Adamson

student•

Me encanta el curso, solo como aporte, en la ultima function, le agrego una "s", a la palabra "option", de modo, que cuando intentas ejecutar, te manda undefined o corriganme, si hago algo mal pero con "options", no ejecutaba. Saludos

const jwt = require('jsonwebtoken');

const [, , option, secret, nameOrToken ] = process.argv;

if ( !option || !secret || !nameOrToken) {
    return console.log("Missing arguments");

}

function signToken(payload, secret) {
    return jwt.sign (payload, secret);
}

function verifyToken(token, secret) {
    return jwt.verify(token, secret);
}

if(option == 'sign') {
    console.log(signToken({ sub: nameOrToken}, secret ));
} else if ( option == 'verify') {
    console.log(verifyToken(nameOrToken, secret));
} else {
    console.log('Option needs to be "sign" or "verify"');
}

Wilson Fernando Antury Torres

student•

Debemos tener cuidado con no enviar información sensible en el payload.

Valerio Maquera

student•

🖐️Pregunta de novato! Cuál es el curso o algún libro que me ayude a entender la lógica secuencial del código??

Guillermo Rodas

teacher•

Hola @Lidher, te recomiendo el curso básico de programación y a partir de allí puedes tomar toda la carrera de la escuela de JavaScript.

Nicolas Guillen

student•

Excelente video profe 10/10 directo al punto

Cristian Caraballo

student•

¿Por que process.argv es un vector?

Favio Náquira

student•

process.argv nos devuelve un array de todos los argumentos ingresados por la consola, es por eso que lo está de-estructurando para obtener las variables importantes para este ejercicio.

Cristofher Jumbo Jimenez

student•

Se puede modificar el payload? por ejemplo en el case de cambiar una contrasenia

Raymond Alexander Mansell Muñoz

student•

Les comparto una forma de generar Secrets seguros directamente desde la terminal: Escriben

node

y dan enter para abrir un shell de Node. Después ejecutan

require('crypto').randomBytes(64).toString('hex')

Andres Caro

student•

const jwt = require('jsonwebtoken');

const [ , , option, secret, nameOrToken] = process.argv;

if(!option || !secret || !nameOrToken) {
    return console.log( 'Missing arguments' );
}

function signToken(payload, secret){
    return jwt.sign(payload, secret);
}

function verifyToken(token, secret){
    return jwt.verify(token, secret);
}

if(option == 'sing'){
    console.log(signToken({sub:nameOrToken }, secret));
}else if(option == 'verify'){
    console.log(verifyToken(nameOrToken, secret))
}else {
    console.log('Option needs to be "sing" or "verify"' );
}```

Jose Daniel Molina

student•

/*
  Firmando y verificando un Json Web Token (JWT)
*/
const jwt = require('jsonwebtoken');

/*
  sacamos las variables necesarias de process.argv, que devuelve un array
  el cual estamos destructurando.
*/
const [, , option, secret, nameOrToken] = process.argv;

// Se verifica que las variables no sean undefined o algun valor false
if(!option || !secret || !nameOrToken){
  console.error('Los argumentos son requeridos');
}

// Funcion para firmar un tokens
function signToken(payload, secret){
  return jwt.sign(payload, secret);
}

// Funcion para decodificar un token
function verifyToken(token, secret){
  return jwt.verify(token, secret);
}

/*
  Opciones para trabajar con la funcion requerida mediante el
  parametro option.
  - sign --> firmar token.
  - verify --> decodificar token.
*/
if(option === 'sign'){
  console.log(signToken({ sub: nameOrToken }, secret));
} else if(option === 'verify'){
  console.log(verifyToken(nameOrToken, secret));
} else {
  console.log('Ninguna opcion es valida, las opciones son "sign" o "verify"');
}

Juan Esteban Galvis

student•

Empezamos bien 🍻 por cierto si quiere organizar su archivo de .gitignore este sitio web se los genera con según la tecnología (En este caso ingresan "Node"): https://www.toptal.com/developers/gitignore

Wandy Rafael Santana Evangelista

student•

Hola Devs: Para el .gitignore pueden usar esta pagina que solo debes colocar con la tecnologias que trabajas en este caso NodeJS, y te crea todas las opciones y archivos que deben de ser ignorados, solo debes copiar y pegar en tu .gitignore y listo, se las recomiendo 100%. Aqui el website: gitignore.io

Sebastian Manassero

student•

Por si alguien le interesa saber como se firma un JWT en Golang.

package main

import (
	"fmt"
	"log"

	jwt "github.com/dgrijalva/jwt-go"
)

type User struct {
	Email    string
	Username string
	Password string
}

func main() {
	newUser := User{
		"sebasmanassero@gmail.com",
		"ZedEme",
		"password",
	}
	JWToken, err := JWTGenerator(newUser)

	if err != nil {
		log.Fatal("Error signing the JWT")
		return
	}

	fmt.Println(JWToken)
}

func JWTGenerator(u User) (string, error) {
	JWTPassword := []byte("password")

	payload := jwt.MapClaims{
		"email":    u.Email,
		"username": u.Username,
	}

	token := jwt.NewWithClaims(jwt.SigningMethodHS256, payload)

	tokenWS, err := token.SignedString(JWTPassword)

	if err != nil {
		return "", err
	}

	return tokenWS, nil
}```

Alejandro González Reyes

student•

Por lo que veo, se debe verificar la firma del token en cada uno de nuestros endpoints privados. Pero en donde viaja está información. Por elemplo si como cliente tengo una spa vuejs

Ivan Dario Villa

student•

Hola, si te refieres donde se envía el token desde el cliente cuando hace un request a un endpoint seguro, este se debe enviar en los headers del request en una propiedad Authorization

Authorization: Bearer <token>

de esta forma el backend puede verificar el token y saber si es un token valido y si tiene permisos de ejecutar esa ruta.

Cristofher Jumbo Jimenez

student•

El secret puede ser cualquier palabra?

Daniel Adolfo Ordoñez Rubio

student•

¡Claro :thumbsup:! :D En la práctica, escribir "secret" u otro texto de ejemplo no sería muy seguro, el punto es que sea secreto y no sea fácil de adivinar.

Miguel de la Rosa

student•

Cuando un usuario se registra con usuario y contraseña se genera un token con ciertos permisos que se guarda en la base de datos. Y luego? Ya desde ahí no entendí :(

Saul Felipe Ramirez

student•

Creo que no entendiste muy bien porque no vi lo de la bd. La idea del jwt es generar un token que permita saber quien es y a qué cosas puede entrar. Cuando haces un login debes ir a la bd primero buscar el nombre de usuario, si existe debes comparar la contraseña (debe estar con un hash o encriptada) si todo es ok, entonces generas el jwt con el payload que necesites de los datos obtenidos en l bd. No se si lo comprendes un poco.

Javier Maldonado Hernandez

student•

Si jwt.verify no logra verificar con exito el token regresa un error, yo lo capture con un try catch.

function verifyToken(token, secret){
    let decoded;
    try {
        decoded = jwt.verify(token, secret);
        return decoded;
    } catch(err) {
        console.log("[Error] : ", err.message)
    }
}

Wilmar Yoan Malaver Malaver

student•

bueno esto me esta gustando como que voy por buen camino :)

Aitor Santana Cabrera

student•

En este curso me está gustando más lla forma de explicar del proifesor, mucho mejor que en el curso de Backend con Node. De momento mis dieces!!

Jair Balcazar Cobeña

student•

Alguien sabe porque el Curso de Integración de Backend con Frontend no esta disponible?

Franco Correa

student•

Te lo dice la misma imagen: Curso disponible el 21 de abril. Aún no está terminado.

Diego Camino Reinoso

student•

Lo que sucede es que ese curso va ser una actualización del curso que anterior (2019)