Json Web Token

Transcript

1. JSON Web Token

2. Software engineer @inalgnu

3. Définition JSON Web Token (JWT) est un standard (RFC 7519)

   qui permet de transférer des “claims” de manière sécurisée entre deux parties. Le JWT peut être hashé, signé numériquement et/ou chiffré en se basant sur deux autres standards JSON Web Signature et JSON Web Encryption.

4. Définition JSON Web Token (JWT) est un standard (RFC 7519)

   qui permet de transférer des “claims” de manière sécurisée entre deux parties. Le JWT peut être hashé, signé numériquement et/ou chiffré en se basant sur deux autres standards JSON Web Signature et JSON Web Encryption. “claims” {“key” : “value”}

5. Définition JSON Web Token (JWT) est un standard (RFC 7519)

   qui permet de transférer des “claims” de manière sécurisée entre deux parties. Le JWT peut être hashé, signé numériquement et/ou chiffré en se basant sur deux autres standards JSON Web Signature et JSON Web Encryption.

6. Définition JSON Web Token (JWT) est un standard (RFC 7519)

   qui permet de transférer des “claims” de manière sécurisée entre deux parties. Le JWT peut être hashé, signé numériquement et/ou chiffré en se basant sur deux autres standards JSON Web Signature et JSON Web Encryption. JSON Web Signature JWS : standard qui défini comment signer les objets JSON (RFC 7515)

7. Définition JSON Web Token (JWT) est un standard (RFC 7519)

   qui permet de transférer des “claims” de manière sécurisée entre deux parties. Le JWT peut être hashé, signé numériquement et/ou chiffré en se basant sur deux autres standards JSON Web Signature et JSON Web Encryption.

8. Définition JSON Web Token (JWT) est un standard (RFC 7519)

   qui permet de transférer des “claims” de manière sécurisée entre deux parties. Le JWT peut être hashé, signé numériquement et/ou chiffré en se basant sur deux autres standards JSON Web Signature et JSON Web Encryption. JSON Web Encryption JWE : standard qui défini comment chiffrer les objets JSON (RFC 7516)

9. Définition JSON Web Token (JWT) est un standard (RFC 7519)

   qui permet de transférer des “claims” de manière sécurisée entre deux parties. Le JWT peut être hashé, signé numériquement et/ou chiffré en se basant sur deux autres standards JSON Web Signature et JSON Web Encryption.

10. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 . eyJuYW1lIjoiSmFjcXVlcyBzZWxlcmUiLCJyb 2xlcyI6WyJhZG1pbiIsInVzZXJsYW1iZGEiXS wiYmlydGhkYXkiOiIxOTg5MDgxMjExMjMiLCJ pZCI6MTI4LCJpc19wcmVtaXVtIjp0cnVlfQ . g28FdUi7RPFwyvxmwMvnLE7wb3Sux3JlvVxIZ Ew5PmY Structure

    du JWT

11. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 . eyJuYW1lIjoiSmFjcXVlcyBzZWxlcmUiLCJyb 2xlcyI6WyJhZG1pbiIsInVzZXJsYW1iZGEiXS wiYmlydGhkYXkiOiIxOTg5MDgxMjExMjMiLCJ pZCI6MTI4LCJpc19wcmVtaXVtIjp0cnVlfQ . g28FdUi7RPFwyvxmwMvnLE7wb3Sux3JlvVxIZ Ew5PmY header

    Structure du JWT

12. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 . eyJuYW1lIjoiSmFjcXVlcyBzZWxlcmUiLCJyb 2xlcyI6WyJhZG1pbiIsInVzZXJsYW1iZGEiXS wiYmlydGhkYXkiOiIxOTg5MDgxMjExMjMiLCJ pZCI6MTI4LCJpc19wcmVtaXVtIjp0cnVlfQ . g28FdUi7RPFwyvxmwMvnLE7wb3Sux3JlvVxIZ Ew5PmY header

    Payload Structure du JWT

13. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 . eyJuYW1lIjoiSmFjcXVlcyBzZWxlcmUiLCJyb 2xlcyI6WyJhZG1pbiIsInVzZXJsYW1iZGEiXS wiYmlydGhkYXkiOiIxOTg5MDgxMjExMjMiLCJ pZCI6MTI4LCJpc19wcmVtaXVtIjp0cnVlfQ . g28FdUi7RPFwyvxmwMvnLE7wb3Sux3JlvVxIZ Ew5PmY header

    Payload Signature Structure du JWT

14. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 . eyJuYW1lIjoiSmFjcXVlcyBzZWxlcmUiLCJyb 2xlcyI6WyJhZG1pbiIsInVzZXJsYW1iZGEiXS wiYmlydGhkYXkiOiIxOTg5MDgxMjExMjMiLCJ pZCI6MTI4LCJpc19wcmVtaXVtIjp0cnVlfQ . g28FdUi7RPFwyvxmwMvnLE7wb3Sux3JlvVxIZ Ew5PmY header

    Payload Signature Structure du JWT { “alg”: “HS256”, “typ”: “JWT” }

15. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 . eyJuYW1lIjoiSmFjcXVlcyBzZWxlcmUiLCJyb 2xlcyI6WyJhZG1pbiIsInVzZXJsYW1iZGEiXS wiYmlydGhkYXkiOiIxOTg5MDgxMjExMjMiLCJ pZCI6MTI4LCJpc19wcmVtaXVtIjp0cnVlfQ . g28FdUi7RPFwyvxmwMvnLE7wb3Sux3JlvVxIZ Ew5PmY header

    Payload Signature Structure du JWT { “alg”: “HS256”, “typ”: “JWT” } { “username”: “Jacques Selere”, “roles”: [“admin”, “manager”], “exp”: 1464208788 }

16. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 . eyJuYW1lIjoiSmFjcXVlcyBzZWxlcmUiLCJyb 2xlcyI6WyJhZG1pbiIsInVzZXJsYW1iZGEiXS wiYmlydGhkYXkiOiIxOTg5MDgxMjExMjMiLCJ pZCI6MTI4LCJpc19wcmVtaXVtIjp0cnVlfQ . g28FdUi7RPFwyvxmwMvnLE7wb3Sux3JlvVxIZ Ew5PmY header

    Payload Signature Structure du JWT { “alg”: “HS256”, “typ”: “JWT” } { “username”: “Jacques Selere”, “roles”: [“admin”, “manager”], “exp”: 1464208788 } claims

17. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 . eyJuYW1lIjoiSmFjcXVlcyBzZWxlcmUiLCJyb 2xlcyI6WyJhZG1pbiIsInVzZXJsYW1iZGEiXS wiYmlydGhkYXkiOiIxOTg5MDgxMjExMjMiLCJ pZCI6MTI4LCJpc19wcmVtaXVtIjp0cnVlfQ . g28FdUi7RPFwyvxmwMvnLE7wb3Sux3JlvVxIZ Ew5PmY header

    Payload Signature Structure du JWT { “alg”: “HS256”, “typ”: “JWT” } { “username”: “Jacques Selere”, “roles”: [“admin”, “manager”], “exp”: 1464208788 } ?ouH?D?p??f???,N?ot??re?\HdL9>f claims

18. Types de JWT

19. header payload hash hashé Types de JWT

20. header payload hash hashé header encrypted payload chiffré Types de

    JWT

21. header payload hash hashé header encrypted payload chiffré header payload

    signature signé Types de JWT

22. header payload hash hashé header encrypted payload chiffré header payload

    signature signé header payload none Types de JWT

23. header payload hash hashé header encrypted payload chiffré header payload

    signature signé header payload none chiffré signé + Types de JWT

24. header encrypted payload signature header payload hash hashé header encrypted

    payload chiffré header payload signature signé header payload none chiffré signé + Types de JWT

25. Mots réservés “iss” : (Issuer) l’identifiant de celui qui a

    généré le JWT. “exp” : (Expiration) date d’expiration du JWT. “iat” : (Issued At) date de création. “aud” : (Audiance) à qui s’adresse le JWT? “sub” : (Subject) “nbf” : (Not Before) non autorisé avant la date indiquée. “jti” : (Identifier) identifiant unique du JWT. Payload (claims) Header (parameters) “alg” : Algorithme utilisé, (paramètre requis) “typ” : Type de token “jku” : Url qui pointe vers la clé publique pour valider la signature du token “kid” : Identifiant de clé (permet de signaler un changement de clé)

26. Construire un JWT <?php function hashSignOrEncryptAlgorithm($data) { // hash, sign

    or encrypt } $header = base64_encode(‘{“alg”:”HS256”, “typ”: “JWT”}’); $payload = base64_encode(‘{“foo”: “bar”}’); $signature = base64_encode(hashSignOrEncryptAlgorithm( $header.’.’.$payload )); $JWT = join(‘.’, [$header, $payload, $signature]);

27. Implémentation JWS/JWE en PHP namshi/jose lcobucci/jwt firebase/php-jwt emarref/jwt

28. Authentification Tokenisation Authorisation “sécurité”

29. Authentification Tokenisation Authorisation “sécurité” JWT

30. Authentification Tokenisation Authorisation “sécurité” JWT ?

31. Authentification Tokenisation Authorisation “sécurité” JWT ? ?

32. Il y a un Bundle pour ça

33. Il y a un Bundle pour ça “Il faut tout

    racheter”

34. LexikJWTAuthenticationBundle composer require “lexik/jwt-authentication-bundle”

35. LexikJWTAuthenticationBundle composer require “lexik/jwt-authentication-bundle” $bundles = [ //… new Lexik\Bundle\JWTAuthenticationBundle\LexikJWTAuthenticationBundle(),

36. LexikJWTAuthenticationBundle composer require “lexik/jwt-authentication-bundle” $bundles = [ //… new Lexik\Bundle\JWTAuthenticationBundle\LexikJWTAuthenticationBundle(),

    lexik_jwt_authentication: private_key_path: "%kernel.root_dir%/../../config/keys/jwt/private.pem" public_key_path: "%kernel.root_dir%/../../config/keys/jwt/public.pem" pass_phrase: jwt-presentation token_ttl: 86400

37. LexikJWTAuthenticationBundle composer require “lexik/jwt-authentication-bundle” $bundles = [ //… new Lexik\Bundle\JWTAuthenticationBundle\LexikJWTAuthenticationBundle(),

    lexik_jwt_authentication: private_key_path: "%kernel.root_dir%/../../config/keys/jwt/private.pem" public_key_path: "%kernel.root_dir%/../../config/keys/jwt/public.pem" pass_phrase: jwt-presentation token_ttl: 86400 firewalls: # ... login: pattern: ^/api/login stateless: true anonymous: true provider: in_memory form_login: check_path: /api/login_check success_handler: lexik_jwt_authentication.handler.authentication_success failure_handler: lexik_jwt_authentication.handler.authentication_failure require_previous_session: false

38. LexikJWTAuthenticationBundle composer require “lexik/jwt-authentication-bundle” $bundles = [ //… new Lexik\Bundle\JWTAuthenticationBundle\LexikJWTAuthenticationBundle(),

    lexik_jwt_authentication: private_key_path: "%kernel.root_dir%/../../config/keys/jwt/private.pem" public_key_path: "%kernel.root_dir%/../../config/keys/jwt/public.pem" pass_phrase: jwt-presentation token_ttl: 86400 firewalls: # ... login: pattern: ^/api/login stateless: true anonymous: true provider: in_memory form_login: check_path: /api/login_check success_handler: lexik_jwt_authentication.handler.authentication_success failure_handler: lexik_jwt_authentication.handler.authentication_failure require_previous_session: false firewalls: # ... api: # ... # advanced configuration lexik_jwt: authorization_header: # check token in Authorization Header enabled: true prefix: Bearer name: Authorization cookie: # check token in a cookie enabled: false name: BEARER query_parameter: # check token in query string parameter enabled: false name: bearer throw_exceptions: false create_entry_point: true authentication_provider: lexik_jwt_authentication.security.authentication.provider authentication_listener: lexik_jwt_authentication.security.authentication.listener

39. AuthenticationFailureEvent AuthenticationSuccessEvent JWTAuthenticatedEvent JWTCreatedEvent JWTDecodedEvent JWTEncodedEvent JWTInvalidEvent Events

40. AuthenticationFailureEvent AuthenticationSuccessEvent JWTAuthenticatedEvent JWTCreatedEvent JWTDecodedEvent JWTEncodedEvent JWTInvalidEvent JWTCreatedEvent Events

41. AuthenticationFailureEvent AuthenticationSuccessEvent JWTAuthenticatedEvent JWTCreatedEvent JWTDecodedEvent JWTEncodedEvent JWTInvalidEvent JWTCreatedEvent Events <?php

    namespace AppBundle\EventListener; use Lexik\Bundle\JWTAuthenticationBundle\Event\JWTCreatedEvent; class JWTCreatedListener { public function onJWTCreated(JWTCreatedEvent $event) { if (!($request = $event->getRequest())) { return; } $payload = $event->getData(); $payload['ip'] = $request->getClientIp(); $payload['roles'] = $event->getUser()->getRoles(); $event->setData($payload); } }

42. AuthenticationFailureEvent AuthenticationSuccessEvent JWTAuthenticatedEvent JWTCreatedEvent JWTDecodedEvent JWTEncodedEvent JWTInvalidEvent JWTCreatedEvent Events <?php

    namespace AppBundle\EventListener; use Lexik\Bundle\JWTAuthenticationBundle\Event\JWTCreatedEvent; class JWTCreatedListener { public function onJWTCreated(JWTCreatedEvent $event) { if (!($request = $event->getRequest())) { return; } $payload = $event->getData(); $payload['ip'] = $request->getClientIp(); $payload['roles'] = $event->getUser()->getRoles(); $event->setData($payload); } } services: jwt_created_listener: class: AppBundle\EventListener\JWTCreatedListener tags: - { name: kernel.event_listener, event: lexik_jwt_authentication.on_jwt_created, method: onJWTCreated }

43. l’idée de la démo Public Private

44. l’idée de la démo Public /login_check Private

45. l’idée de la démo Public /login_check Private sign

46. l’idée de la démo Public /login_check Private sign JWT

47. l’idée de la démo Public /login_check Private sign JWT

48. l’idée de la démo Public /login_check Private sign JWT /restricted?bearer={{JWT}}

49. l’idée de la démo Public /login_check Private sign JWT verify

    /restricted?bearer={{JWT}}

50. l’idée de la démo Public /login_check Private sign JWT verify

    /restricted?bearer={{JWT}} Access Granted

51. l’idée de la démo Public /login_check Private sign JWT verify

    /restricted?bearer={{JWT}} /restricted ?bearer={{JWT}} Access Granted

52. l’idée de la démo Public /login_check Private sign JWT verify

    /restricted?bearer={{JWT}} /restricted ?bearer={{JWT}} Access Granted verify

53. l’idée de la démo Public /login_check Private sign JWT verify

    /restricted?bearer={{JWT}} /restricted ?bearer={{JWT}} Access Granted Access Granted verify

54. l’idée de la démo Public /login_check Private sign JWT verify

    /restricted?bearer={{JWT}} /restricted ?bearer={{JWT}} Access Granted Access Granted /restricted ?bearer=JWT verify

55. l’idée de la démo Public /login_check Private sign JWT verify

    /restricted?bearer={{JWT}} /restricted ?bearer={{JWT}} Access Granted Access Granted /restricted ?bearer=JWT verify verify

56. l’idée de la démo Public /login_check Private sign JWT verify

    /restricted?bearer={{JWT}} /restricted ?bearer={{JWT}} Access Granted Access Granted /restricted ?bearer=JWT Access Granted verify verify

57. Démo

58. Interoperability Stateless Découplage de l’api authentification. Cross-Domain/CORS: indépendant du domain

    Prêt pour les SPA, mobile. Avantages

59. Favoriser des temps d’expiration courts. Éviter les données sensibles dans

    le payload. Éviter de surcharger le payload (utiliser un /me) Attention quand même

60. Comment ?

61. Comment ? Implementer un Refresh Token ?

62. Comment ? Implementer un Refresh Token ? Revoker l’access à

    un token ?

63. Comment ? Implementer un Refresh Token ? Revoker l’access à

    un token ? JWTRefreshTokenBundle

64. Comment ? Implementer un Refresh Token ? Revoker l’access à

    un token ? JWTRefreshTokenBundle Registry d’identifiant (jti)

65. Tools

66. jwt-cli https://www.npmjs.com/package/jwt-cli

67. jwt-cli https://www.npmjs.com/package/jwt-cli

68. https://www.jwtinspector.io/ console.jwt(‘……’);

69. @inalgnu