JWT - Mais segurança na sua aplicação

Transcript

1. JWT: Mais (emoção) segurança na sua aplicação GUSTAVO PEREIRA -

   PHPSP SANTOS TALKS #2

2. Como podemos garantir uma segurança maior na troca de informações

   entre o client/server e entre múltiplas instâncias da mesma aplicação?

3. Quem sou eu? 12 anos na área de TI Bacharel

   em Ciências da Computação Tecnólogo em Processamento de Dados Zend Certified PHP Engineer 5.5 Desenvolvedor PL na MT4 Networks http://www.mt4networks.com.br

4. Slideshare!

5. Quando pensamos em autenticação, qual é o modelo "convencional"?

6. None

7. Cliente Servidor BD

8. Cliente Servidor BD PHP SESSID=toorf9xB(...) /index.php

9. Cliente Servidor BD /login (username: x, password: y) PHP SESSID=toorf9xB(...)

10. Cliente Servidor BD /login.php (username: x, password: y) (Select username

    from users…) PHP SESSID=toorf9xB(...)

11. Cliente Servidor BD /login.php (username: x, password: y) (Select username

    from users…) PHP SESSID=toorf9xB(...) Usuario Permissões Guarda Sessão

12. Cliente Servidor BD /login.php (username: x, password: y) (Select username

    from users…) Usuario Permissões Guarda Sessão PHP SESSID=toorf9xB(...) Sucesso! Nota: Resista a tentação de guardar permissões, dados sensíveis de usuário nos COOKIES.

13. Quais os problemas dessa arquitetura?

14. None

15. Problemas com CORS (Cross-Origin Resource Sharing)

16. CSRF? (Falamos bastante sobre no Talks #1 )

17. Escalabilidade? Interoperabilidade?

18. REST? Stateless? (Cada mensagem HTTP deve conter tudo o que

    precisa pra entender o pedido)

19. REST? Stateless? E quem deve manter o estado é o

    cliente!

20. Podemos simplificar!

21. https://tools.ietf.org/html/rfc7519

22. JOSE

23. JOSE Json Object Signing and Encryption (Um framework!)

24. JWToken JWAlgorithm JWSignature JWEncryption JWKey

25. JWToken JWAlgorithm JWSignature JWEncryption JWKey Ok, esquece… vamos falar só

    do JWT que engloba tudo

26. Vantagens do JWT?

27. Tudo o que você precisa vai no request, dentro do

    Token

28. O Token está criptografado!

29. Microservices Friendly

30. SSO-friendly (Acesso a diferentes serviços de uma mesma aplicação através

    de apenas uma tentativa de login)

31. Independe de linguagem!

32. OK, mas como ficaria então?

33. None

34. Anatomia de um JWT

35. Header + Payload + Signature aaaa.bbbbbb.ccccccc eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzY290Y2guaW8iLCJleHAiOjEzMDA4MTkzODAsIm5hbWU iOiJDaHJpcyBTZXZpbGxlamEiLCJhZG1pbiI6dHJ1ZX0.03f329983b86f7d9a9f5fef85305880101d5e302afafa20 154d094b229f75773

36. Header + Payload + Signature

37. CLAIMS

38. Header { "alg": "HS256", "typ": "JWT" }

39. Header { "alg": "HS256", ← Chave Simétrica "typ": "JWT" }

40. None
41. None

42. Payload (Reservados e opcionais!) "iss" - emissor "sub" - objetivo/assunto

    "aud" - consumidor "exp" - expiração "nbf" - not before "iat" - criado em "jti" - JWT ID

43. Payload (Públicos) "adm" - É admin? "uid" - ID do

    usuário "lpd" - Ultimo produto comprado Ou seja… o que você quiser! CUIDADO

44. Signature Header + payload

45. E como usamos? 1 - No header...

46. E como usamos? 2 - query String https://site.com.br?bearer=a aaaa.bbbbb.ccccc

47. E como usamos? 3 - No corpo da requisição (POST)

48. E finalmente, COMO CRIAMOS?

49. None

50. lcobucci/jwt

51. None

52. E no final teremos... eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI 1NiIsImp0aSI6IjRmMWcyM2ExMm FhIn0.eyJpc3MiOiJodHRwOlwvXC9 waHBzcHNhbnRvcy5jb20iLCJhdWQ iOiJodHRwOlwvXC9leGFtcGxlLm9y ZyIsImp0aSI6IjRmMWcyM2ExMmF

    hIiwiaWF0IjoxNTA2Nzc2MDczLCJu YmYiOjE1MDY3NzYxMzMsImV4cC I6MTUwNjc3OTY3MywidWlkIjoxL CJscGQiOjEyMzM0OTF9.5ui0_hs6W KFFMPHwVBbgANlTufQMWN-uB- G2glCxE_Q
53. None
54. None
55. None
56. None

57. Chave assimétrica $entSign = new Sha256(); $entKeyChain = new Keychain();

    $token = (new Builder())->setIssuer('http://phpspsantos.com'); $token->sign( $entSign, $entKeyChain->getPrivateKey($dirPrivKey) );

58. Chave assimétrica $entSign = new Sha256(); $entKeyChain = new Keychain();

    $token = (new Builder())->setIssuer('http://phpspsantos.com'); $token->verify( $entSign, $entKeyChain->getPublicKey($dirPublicKey) );

59. "Tem pro Laravéu?"

60. https://github.com/tymondesigns/jwt-auth

61. lexik/LexikJWTAuthenticationBundle (github)

62. https://github.com/tuupola/slim-jwt-auth

63. Mas cuidado!

64. 1. A chave privada precisa estar segura!

65. 2. Não dá pra gerenciar o lado do cliente Se

    o cliente perde o celular, como fazer com que o aplicativo ''seja deslogado"?

66. 2. Não dá pra gerenciar o lado do cliente Guardar

    os tokens emitidos (NoSQL)? Trocamos a chave privada? Quando o usuário logar em um dispositivo, mostramos a lista dos dispositivos conectados?

67. 3. Use Sempre um Algoritmo! { "typ": "JWT", "alg": "none"

    }

68. OWASP REST_Security_Cheat_Sheet

69. 4. Cuidado com o tamanho do Token!

70. E como sempre, Não existe bala de prata!

71. Saiba mais! https://www.slideshare.net/brunonm/aplicacoes-stateless-com-php-e-jwt https://www.slideshare.net/imasters/php-experience-2016-palestra-json-web-token-jwt https://www.slideshare.net/nachomartin/asegurando-apis-en-symfony-con-jwt https://www.youtube.com/watch?v=p2tItlr_3QI http://jwt.io

72. Dúvidas?

73. Obrigado!

74. Créditos das imagens Google! https://stormpath.com/blog/microservices-jwt-spring-boot http://www.cushwakeatlanta.com/ken-ashley-6-cre-predictions-for-2016/ https://scotch.io/tutorials/the-anatomy-of-a-json-web-token http://thehipp.org/wp-content/uploads/2015/05/Casper-1995-ScreenShot-49.jpg https://github.com/rmcdaniel/angular-codeigniter-seed/blob/master/api/application/helpers/jwt_helper.php http://yellowhammernews.com/wp-content/uploa

    ds/2016/03/bank-vault-safe-deposit-boxes.jpg