JSON Web Token

(7 minutos de leitura)


A importância da segurança vem aumentando ao longo dos anos devido ao aumento de ataques cibernéticos e violações de dados. As organizações precisam tomar precauções, como implementar medidas de segurança cibernética e usar tecnologias de criptografia para seus ativos digitais.

A segurança é um ponto essencial de qualquer aplicação web, independentemente do tamanho. Ele contém dados que precisam ser protegidos, pois podem ser acessados por usuários mal-intencionados.

Uma das formas de proteger os dados, é por meio do Token Based Authentication que utiliza um token JWT. Mas, afinal, você sabe o que é isso? É o que explicaremos neste artigo. Confira!


JWT: O QUE É E QUANDO UTILIZÁ-LO

JSON Web Token é um tipo de token de segurança usado no processo de autorização. Contém informações codificadas que podem ser decodificadas pelo servidor e passadas ao cliente solicitante.

Seu objetivo é transmitir ou armazenar de forma compacta e segura objetos JSON entre diferentes aplicações. O JWT é digitalmente assinado por meio de uma chave secreta com o algoritmo HMAC ou um par de chaves pública e privada RSA ou ECDSA.

Esse fato o torna um meio extremamente seguro de compartilhamento de informações e autenticação de usuários. Seu formato é baseado em texto e amplamente aceito por diversas linguagens de programação.

O JWT é um dos principais componentes do JOSE (Json Object Signing and Encryption). Nele estão contidas especificações como:

- JWE (Json Web Encryption), responsável pela criptografia para a assinatura do token;
- JWA (Json Web Algorithms), a respeito do algoritmo; 
- JWK (Json Web Keys) correspondente as chaves para assinatura;
- JWS (Json Web Signature), a assinatura do token.
- JWT, elemento JOSE, é o token em si.

Sua utilização acontece em dois cenários: no processo de autorização em aplicações ou na troca de informações. A seguir detalhamos suas formas de uso. Confira!


AUTORIZAÇÃO

O cenário mais comum para usar JSON Web Tokens é autenticar usuários fornecendo-lhes o token e permitindo que eles acessem as rotas, serviços e recursos apropriados em seu site ou servidor.


TROCA DE INFORMAÇÕES

Os JWTs podem ser assinados usando pares de chaves públicas e privadas. Isso fornece algum nível de garantia de que o remetente é quem diz ser.


ESTRUTURAS DO JWT

Os JSON Web Tokens consistem em três partes separadas por pontos (.). Essas partes são:

- Header;
- Payload;
- Signature.


HEADER

O header, ou cabeçalho, fica localizado no início do token e é composto por dois elementos: o alg e o typ. O primeiro indica qual o algoritmo de criptografia usado e o segundo informa o tipo de token.

No entanto, não obrigatoriamente todo token JWT contém a informação do tipo token. A informação essencial nesse caso é a que indica qual o algoritmo de assinatura foi utilizado.


PAYLOAD

O Payload, ou corpo, é onde ficam contidas as claims. Claims são declarações sobre o usuário, e dados adicionais.

O corpo do token JWT é constituído por informações opcionais, ou seja, informações que a aplicação que o gerou deseja informar, com exceção da chave sub que é obrigatória, já que é o fator identificador da entidade a qual o token se refere.

Existem 3 tipos de claims em payloads: reserved, public e private claims. Os reserved claims são atributos não obrigatórios, porém recomendados, que podem ser um conjunto de informações uteis e interoperáveis normalmente utilizados em protocolos de segurança em API’s. Essas claims pré-determinadas são padronizadas pelo sistema e podem ser classificadas em:

- Json Token Identifier (jti): é a identidade única do token;
- iss: Trata-se do usuário que emitiu o token;
- iat: Identifica o tempo de existência do token a partir do horário de sua emissão;
- nbf: Determina a validade do token;
- exp: Refere-se ao tempo de expiração do token. Ou seja, após o período determinado, o token não é mais aceito para processamento;
- sub: Indica o assunto do token;
- aud: Identifica o público do token, ou seja, o consumidor final.


Os public claims são os atributos que definem o uso do JWT e informações úteis para a aplicação. Já o private claims são aqueles definidos especialmente para compartilhar informações entre aplicações.

É importante destacar que não se deve colocar informações sensíveis no payload, já que é possível acessar o conteúdo de cada segmento de um jwt token. O processo para visualização de conteúdo é feito por meio de um Base64 decode.


SIGNATURE

Trata-se de um dos elementos mais sensíveis do jwt pois é uma espécie de produto dos outros dois componentes. Sua composição é feita por meio da codificação (encode) do header e do payload, somado a uma palavra-chave.

A assinatura consegue identificar se a mensagem do jwt token não foi violado em algum momento. A palavra-chave segredo concede a geração de outros tokens, sendo exclusiva do servidor.


CONSTRUÇÃO DE UM TOKEN

Um token nada mais é do que uma assinatura digital, ou seja, uma chave. Dessa forma, é uma string, uma cadeia de caracteres que funciona para representação de um objeto.

Uma assinatura é uma parte sensível à segurança de um token destinada a proteger a integridade das informações. Para garantir essa proteção, existe uma fórmula padrão qye exige que o token seja uma hash em Base64 gerada de um algoritmo de criptografia, por exemplo SHA256 ou SHA512, e essa hash precisa ser feita por meio do header e do payload do token.


VERIFICAÇÃO

Um token seguro é matematicamente impossível de ser decodificado sem a chave secreta do aplicativo. No entanto, uma vez descoberta, qualquer aplicação pode decodificar a assinatura e verificar sua validade.

Isso é realizado ao gerar uma assinatura utilizando o header e o payload fornecidos pelo cliente para então comparar essa assinatura gerada com a presente no token enviado pelo cliente. Uma vez que as assinaturas apresentadas sejam idênticas, o acesso é concedido na aplicação.


NA PRÁTICA

Para chegar ao resultado final de um token é necessário portanto:

- Ditar um algoritmo (alg) e um tipo (typ) no hedader;
- Informar as claims, que podem ser registradas ou personalizadas, do token;
- Interligar os três elementos: header, payload e signature.


Gostou do nosso conteúdo? Então siga-nos nas redes sociais para ficar por dentro de mais informações e acompanhe o nosso blog.
Compartilhe este artigo em suas redes sociais:
Avalie este artigo:

Outros artigos que você pode ter interesse em ler

  • Todos (148)
  • Bem estar (13)
  • Carreira (37)
  • Competições (4)
  • Desenvolvimento (85)
  • Design (8)
  • Diversidade e Inclusão (3)
  • Eventos (3)
  • História (13)
  • Indústrias (6)
  • Inovação (32)
  • Liderança (7)
  • Projetos (23)
WP Thumbnail

Como se manter atualizado
21 setembro, 2023
(6 minutos de leitura) Manter-se atualizado no mercado de TI é essencial, dada a rápida evolução e as mudanças constantes que ocorrem nessa área. Neste artigo daremos algumas sugestões para se manter informado e atualizado no mercado de tecnologia. Vem ler!...
Carreira
WP Thumbnail

C#
19 setembro, 2023
(9 minutos de leitura) O C# é uma linguagem de programação orientada a objetos, desenvolvida pela Microsoft como parte de sua plataforma .NET. Desde o seu lançamento no início dos anos 2000, o C# tornou-se uma das linguagens de programação mais populares e amplamente utilizadas em todo o mundo. Neste artigo falaremos sobre suas características, aplicações e porque estudar uma linguagem tão rica e poderosa. Vem ler!...
Desenvolvimento, História
WP Thumbnail

BFF
12 setembro, 2023
(7 minutos de leitura) Neste artigo exploraremos o que é BFF, como ele funciona e por que se tornou uma parte crucial do desenvolvimento moderno, afinal, hoje em dia, a interconexão e a experiência do usuário estão no centro do desenvolvimento de aplicativos e sites. E para isso, é essencial uma colaboração perfeita entre diferentes camadas de tecnologia, e é aí que entra o conceito de BFF. Vem ler!...
Desenvolvimento
WP Thumbnail

SOAP
5 setembro, 2023
(7 minutos de leitura) Na era da comunicação digital, a troca de informações entre sistemas e aplicativos é essencial. Nesse contexto, surgem protocolos específicos que facilitam essa comunicação e um é o SOAP. Neste artigo, exploraremos em detalhes o que é o SOAP, sua estrutura, seu funcionamento e suas aplicações práticas. Vem ler!...
Desenvolvimento
WP Thumbnail

Plugins ChatGPT
31 agosto, 2023
(8 minutos de leitura) O mundo da tecnologia está em constante evolução. Nos últimos anos, o desenvolvimento de Inteligência Artificial (IA) e, mais especificamente, de modelos de linguagem como o GPT, transformou significativamente a maneira como interagimos com máquinas. A introdução de plugins para estas ferramentas amplia ainda mais suas capacidades e nos dá uma visão de um futuro no qual a IA se torna ainda mais integrada em nossas vidas diárias. Vem ler nosso texto sobre o assunto!...
Desenvolvimento, Inovação
WP Thumbnail (21)

Apache Maven
29 agosto, 2023
(7 minutos de leitura) O desenvolvimento de software é um processo complexo que envolve várias etapas, desde a escrita do código até a implantação e o gerenciamento de dependências. Para simplificar e automatizar essas tarefas, temos diversas ferramentas e o Apache Maven é uma delas. Ele é uma poderosa ferramenta de construção e gerenciamento de projetos que tem sido amplamente adotada pela comunidade de desenvolvedores. Se interessou pelo assunto? Neste artigo, exploraremos em detalhes o Apache Maven, sua finalidade, recursos e como utilizá-lo em projetos de software. Vem ler!...
Desenvolvimento, Projetos
Você gostaria de ter um artigo ou vídeo seu publicado no blog e redes sociais da beecrowd? Caso tenha interesse, envie-nos um e-mail com o assunto “BLOG” para [email protected] e passaremos mais detalhes sobre o processo e pré-requisitos para ter o seu artigo/vídeo publicado em nossos canais
Sede
Rua Funchal, 538
Cj. 24
Vila Olímpia
04551-060
São Paulo, SP
Brasil
Website:
Home
Desenvolvedores
Escolas
Empresas
Blog
Sobre nós
Carreiras
Responsabilidade Social
Contate-nos:
Sou uma Escola
Sou uma Empresa
Sou Especial

© 2023 beecrowd

Todos os Direitos Reservados

Política de Privacidade
Termos e Condições