Asegurando APIs en Symfony con JWT
8 recomendaciones4,372 vistas
El documento aborda la autenticación en APIs utilizando JSON Web Tokens (JWT) en Symfony, resaltando la importancia de asegurar las aplicaciones a medida y gestionar la sesión de forma eficiente. Se presentan las ventajas de JWT sobre las cookies tradicionales, incluyendo la eliminación de problemas como CSRF y la capacidad de manejar la autenticación de manera estateless. Además, se proporciona información sobre la implementación de JWT, incluyendo ejemplos de código para crear y validar tokens, así como la configuración necesaria para su uso en entornos de desarrollo.
![Estado en REST
[…] communication must be stateless in nature, […], such that
each request from client to server must contain all of the
information necessary to understand the request, and
cannot take advantage of any stored context on the
server. Session state is therefore kept entirely on the client.](https://image.slidesharecdn.com/dsf-jwt-170703055720/85/Asegurando-APIs-en-Symfony-con-JWT-14-320.jpg)
![Añadir/quitar datos a payload
class JWTCreatedListener
{
public function onJWTCreated(JWTCreatedEvent $event)
{
$payload = $event->getData();
$user = $event->getUser();
if ($user->canOrder()) {
$payload['aud'] = ‘pedidos';
}
$event->setData($payload);
}
}](https://image.slidesharecdn.com/dsf-jwt-170703055720/85/Asegurando-APIs-en-Symfony-con-JWT-95-320.jpg)
![Comprobaciones extra
class JWTDecodedListener
{
public function onJWTDecoded(JWTDecodedEvent $event)
{
$payload = $event->getPayload();
if (!isset($payload['aud'])
|| $payload['aud'] !== 'pedidos') {
$event->markAsInvalid();
}
}
}](https://image.slidesharecdn.com/dsf-jwt-170703055720/85/Asegurando-APIs-en-Symfony-con-JWT-96-320.jpg)
Asegurando APIs en Symfony con JWT
- 1. deSymfony 30 junio - 1 julio 2017 Castellón ASEGURANDO APIS EN SYMFONY CON JWT Nacho Martín
- 2. deSymfony ¡Muchas gracias a nuestros patrocinadores!
- 3. Programo en Limenius Casi todos los proyectos necesitan una API Hacemos aplicaciones a medida con Symfony y React JWT es una buena herramienta para asegurarlas
- 4. Por qué es esto necesario
- 5. Por qué es esto necesario ¿Por qué no está todo inventado?
- 7. Esta charla va de alivios
- 8. Esta charla va de alivios
- 9. Autenticación con Cookies Cliente (navegador) Servidor BD POST /login_check username: "nacho", password: "patata"
- 10. Autenticación con Cookies Cliente (navegador) Servidor BD Obtiene usuario Verifica credenciales Guarda sesión
- 11. Autenticación con Cookies Cliente (navegador) Servidor BD Envía cookie al cliente Set-Cookie: PHPSESSIONID=HOLA…
- 12. Autenticación con Cookies Cliente (navegador) Servidor BD Usa cookie para identificarse Cookie: PHPSESSIONID=HOLA
- 13. Problemas con Cookies Problemas con CORS Implementación no natural en algunos clientes Hay que protegerse contra CSRF Requiere una gestión de sesión y pensar en cómo escalar Mantienen un estado (sesión)
- 14. Estado en REST […] communication must be stateless in nature, […], such that each request from client to server must contain all of the information necessary to understand the request, and cannot take advantage of any stored context on the server. Session state is therefore kept entirely on the client.
- 15. Cómo siempre, hay razones Requiere una gestión de sesión, y pensar en cómo escalar ¿Qué hacer con un balanceador de carga? ¿Dónde guardar las sesiones?
- 19. Junio 2012
- 20. JSON Web Tokens (JWT)
- 21. JOSE JSON Object Signing and Encryption { JWT JWA JWS JWE JWK
- 22. JOSE JSON Object Signing and Encryption { JWT JWA JWS JWE JWK
- 23. JWT solo es un formato de tokens Pero muchas veces decimos “usar JWT” Para referirnos a una forma de trabajar con ellos https://www.flickr.com/photos/tokencompany/8073379662
- 24. Autenticación con JWT Cliente (navegador) Servidor BD POST /login_check username: "nacho", password: "patata"
- 25. Autenticación con JWT Cliente (navegador) Servidor BD Obtiene usuario Verifica credenciales Guarda sesión?
- 26. Autenticación con JWT Cliente (navegador) Servidor BD Envía token al cliente {“token”:"tomaUnToken"}
- 27. Autenticación con JWT Cliente (navegador) Servidor BD Usa token para identificarse Authorization: Bearer tomaUnToken
- 28. Uso en JavaScript fetch(baseUrl + '/admin/api/recipes', { method: 'POST', headers: { 'Accept': 'application/json', 'Content-Type': 'application/json', 'Authorization': 'Bearer '+token, }, body: JSON.stringify( data ) })
- 29. Almacenamiento en JavaScript window.localStorage.setItem('access_token', token) window.localStorage.getItem('access_token')
- 30. Almacenamiento en JavaScript window.localStorage.setItem('access_token', token) window.localStorage.getItem('access_token') Ya no tenemos CSRF, ahora ojo con ataques XSS
- 33. eyJhbGciOiJSUzI1NiJ9.eyJyb2xlcyI6WyJST0xFX1VTRVIiXSwid XNlcm5hbWUiOiJuYWNobyIsImlhdCI6MTQ5ODE0MjA3Niw iZXhwIjoxNDk4MTQ1Njc2fQ Hay un punto El famoso token
- 36. Base64Url eyJhbGciOiJSUzI1NiJ9{“alg":"none"} No está cifrado (todos lo pueden leer) Solo está codificado Esto solo sirve para que pueda viajar en URLs Y en cualquier sitio donde puedan viajar strings
- 41. Pero sí está firmado (los intermediarios no lo pueden modificar sin que nos enteremos) No está cifrado
- 45. ¿Qué algoritmo usar? JWA (rfc7518)
- 46. Diferencia simétrico/asimétrico Simétrico: usamos la misma clave para firmar y validar. Asimétrico: usamos distintas claves para firmar y validar.
- 49. RS256 RS384 RS512 Algoritmos HS256 HS384 HS512 ES256 ES384 ES512 HMAC ECDSA RSA PS256 PS384 PS348 RSASSA-PSS none Simétrico Asimétricos
- 52. Registered claims jti iss aud sub iat exp nbf Id del token: String Issuer (emisor): StringOrUri Audiencia: StringOrUri Subject (tema): StringOrUri Cuándo se creó: NumericDate Cuándo expira: NumericDate Tiempo hasta válidez: NumericDate
- 53. Custom claims { “username":"nacho", “iat":1498142076, “exp”:1498145676 } Podemos añadir lo que queramos. Solo hay que tener en cuenta: Ser conciso. Los datos no van cifrados (el cliente los ve).
- 54. Firma Signature = algoritmo(payload, key) Payload = Base64URL(headers) + ”.” + Base64URL(claims) JWS (rfc7515)
- 55. JWT.IO
- 56. Importante: Usar TLS (“SSL”)
- 57. Ventajas de JWT
- 58. Caso: Mi app en JavaScript se ve distinta dependiendo del rol del usuario
- 59. Con Cookies Cliente Servidor BD Cookie: PHPSESSIONID=HOLA
- 60. Con Cookies Cliente Servidor BD Cookie: PHPSESSIONID=HOLA Tengo una cookie pero no sé qué usuario soy ni qué permisos tengo
- 61. Con Cookies Cliente Servidor BD Cookie: PHPSESSIONID=HOLA
- 62. Con Cookies Cliente Servidor BD Cookie: PHPSESSIONID=HOLA Obtener usuario
- 63. Con Cookies Cliente Servidor BD Cookie: PHPSESSIONID=HOLA Obtener usuario
- 64. Con Cookies Cliente Servidor BD Cookie: PHPSESSIONID=HOLA Obtener usuario
- 65. Con Cookies Cliente Servidor BD Cookie: PHPSESSIONID=HOLA Obtener usuario
- 66. Con Cookies Cliente Servidor BD Cookie: PHPSESSIONID=HOLA Obtener usuario Y ahora mostramos
- 67. Con JWT Cliente Servidor BD Token: ejh9…
- 68. Con JWT Cliente Servidor BD Token: ejh9… { “username":"nacho", “iat":1498142076, “exp”:1498145676 }
- 69. Con JWT Cliente Servidor BD Token: ejh9… { “username":"nacho", “iat":1498142076, “exp”:1498145676 } Tenemos todos los datos
- 70. Con JWT Cliente Token: ejh9… { “username":"nacho", “iat":1498142076, “exp”:1498145676 } Tenemos todos los datos
- 71. Microservicios Auth Clave privada y pública Consulta Clave pública Cliente Clave pública Pedidos Clave pública
- 72. Microservicios Auth Clave privada y pública Consulta Clave pública Cliente Clave pública Pedidos Clave pública { “aud”:”consulta", }
- 73. Microservicios Auth Clave privada y pública Consulta Clave pública Cliente Clave pública Pedidos Clave pública { “aud”:”consulta", } ✘
- 74. Microservicios Auth Clave privada Consulta Cliente Clave pública Clave pública Pedidos Gateway
- 75. Soporte en PHP
- 78. lcobucci/jwt
- 79. Crear tokens use LcobucciJWTBuilder; use LcobucciJWTSignerKeychain; use LcobucciJWTSignerRsaSha256; $signer = new Sha256(); $keychain = new Keychain(); $privateKey = $keychain->getPrivateKey('file://path'); $token = (new Builder())->setIssuer('http://example.com') ->setAudience('http://example.org') ->setId('4f1g23a12aa', true) ->setIssuedAt(time()) ->setNotBefore(time() + 60) ->setExpiration(time() + 3600) ->set('uid', 1) ->sign($signer, $privateKey) ->getToken();
- 80. Validar tokens use LcobucciJWTSignerKeychain; use LcobucciJWTSignerRsaSha256; use LcobucciJWTValidationData; $signer = new Sha256(); $keychain = new Keychain(); $publicKey = $keychain->getPublicKey('file://path'); $data = newValidationData(); $data->setIssuer('http://example.com'); $data->setAudience('http://example.org'); $data->setId('4f1g23a12aa'); $token->validate($data); $token->verify($signer, $publicKey);
- 82. Instalación composer require lexik/jwt-authentication-bundle $bundles = array( // ... new LexikBundleJWTAuthenticationBundleLexikJWTAuthenticationBundle(), // ... ); app/config/AppKernel.php
- 83. Crear claves $ openssl genrsa -out var/jwt/private.pem -aes256 4096 $ openssl rsa -pubout -in app/jwt/private.pem -out var/jwt/public.pem
- 84. Crear claves $ openssl genrsa -out var/jwt/private.pem -aes256 4096 $ openssl rsa -pubout -in app/jwt/private.pem -out var/jwt/public.pem Clave privada
- 85. Crear claves $ openssl genrsa -out var/jwt/private.pem -aes256 4096 $ openssl rsa -pubout -in app/jwt/private.pem -out var/jwt/public.pem Clave privada Clave pública
- 86. Configuración app/config/parameters.yml app/config/config.yml lexik_jwt_authentication: private_key_path: %jwt_private_key_path% public_key_path: %jwt_public_key_path% pass_phrase: %jwt_key_pass_phrase% token_ttl: %jwt_token_ttl% parameters: jwt_private_key_path: '%kernel.root_dir%/../var/jwt/private.pem' jwt_public_key_path: '%kernel.root_dir%/../var/jwt/public.pem' jwt_key_pass_phrase: patata jwt_token_ttl: 3600
- 87. Configuración app/config/parameters.yml app/config/config.yml lexik_jwt_authentication: private_key_path: %jwt_private_key_path% public_key_path: %jwt_public_key_path% pass_phrase: %jwt_key_pass_phrase% token_ttl: %jwt_token_ttl% encoder: service: lexik_jwt_authentication.encoder.lcobucci parameters: jwt_private_key_path: '%kernel.root_dir%/../var/jwt/private.pem' jwt_public_key_path: '%kernel.root_dir%/../var/jwt/public.pem' jwt_key_pass_phrase: patata jwt_token_ttl: 3600
- 88. Configuración app/config/parameters.yml app/config/config.yml lexik_jwt_authentication: private_key_path: %jwt_private_key_path% public_key_path: %jwt_public_key_path% pass_phrase: %jwt_key_pass_phrase% token_ttl: %jwt_token_ttl% encoder: service: lexik_jwt_authentication.encoder.lcobucci parameters: jwt_private_key_path: '%kernel.root_dir%/../var/jwt/private.pem' jwt_public_key_path: '%kernel.root_dir%/../var/jwt/public.pem' jwt_key_pass_phrase: patata jwt_token_ttl: 3600 Probablemente será default en algún punto
- 89. firewalls: login: pattern: ^/api/login stateless: true anonymous: true form_login: check_path: /api/login_check success_handler: lexik_jwt_authentication.handler.authentication_success failure_handler: lexik_jwt_authentication.handler.authentication_failure require_previous_session: false api: pattern: ^/api stateless: true guard: authenticators: - lexik_jwt_authentication.jwt_token_authenticator Security config app/config/security.yml
- 90. firewalls: login: pattern: ^/api/login stateless: true anonymous: true form_login: check_path: /api/login_check success_handler: lexik_jwt_authentication.handler.authentication_success failure_handler: lexik_jwt_authentication.handler.authentication_failure require_previous_session: false api: pattern: ^/api stateless: true guard: authenticators: - lexik_jwt_authentication.jwt_token_authenticator Security config app/config/security.yml No asigna cookies
- 94. Eventos JWT_CREATED: Añadir/quitar datos a claims. JWT_DECODED: Validaciones extra. JWT_AUTHENTICATED: Añadir datos al token de Symfony. AUTHENTICATION_FAILURE JWT_INVALID JWT_NOT_FOUND JWT_EXPIRED }Cambiar respuestas. AUTHENTICATION_SUCCESS
- 95. Añadir/quitar datos a payload class JWTCreatedListener { public function onJWTCreated(JWTCreatedEvent $event) { $payload = $event->getData(); $user = $event->getUser(); if ($user->canOrder()) { $payload['aud'] = ‘pedidos'; } $event->setData($payload); } }
- 96. Comprobaciones extra class JWTDecodedListener { public function onJWTDecoded(JWTDecodedEvent $event) { $payload = $event->getPayload(); if (!isset($payload['aud']) || $payload['aud'] !== 'pedidos') { $event->markAsInvalid(); } } }
- 97. Añadir atributo API a Token Sf class JWTAuthenticatedListener { public function onJWTAuthenticated(JWTAuthenticatedEvent $event) { $token = $event->getToken(); $token->setAttribute('api', true); } } public function pagesAction(Request $request) { if ($this->get(‘security.token_storage') ->getToken() ->getAttribute(‘api')) { return new JsonResponse('hola usuario de api'); } }
- 98. ¿Qué pasa si quiero…? Tener diferentes estrategias en distintos firewalls Hacer algo muy particular
- 99. Security
- 108. UserProvider
- 109. UserProvider
- 110. 👌
- 112. Guard 💂
- 113. 👌
- 114. La interfaz GuardAuthenticator interface GuardAuthenticatorInterface { public function getCredentials(Request $request); public function getUser($credentials, UserProviderInterface $userProvider); public function checkCredentials($credentials, UserInterface $user); public function createAuthenticatedToken(UserInterface $user, $providerKey); public function onAuthenticationFailure(Request $request,AuthenticationException $exception); public function onAuthenticationSuccess(Request $request,TokenInterface $token, $providerKey); public function supportsRememberMe(); }
- 117. La interfaz GuardAuthenticator getCredentials getUser checkCredentials createAuthenticatedToken onAuthenticationFailure onAuthenticationSuccess supportsRememberMe Validar token Obtener usuario a partir de JWT
- 118. La interfaz GuardAuthenticator getCredentials getUser checkCredentials createAuthenticatedToken onAuthenticationFailure onAuthenticationSuccess supportsRememberMe Validar token Obtener usuario a partir de JWT true
- 119. La interfaz GuardAuthenticator getCredentials getUser checkCredentials createAuthenticatedToken onAuthenticationFailure onAuthenticationSuccess supportsRememberMe Validar token Obtener usuario a partir de JWT true Crear token de Symfony (no JWT)
- 120. La interfaz GuardAuthenticator getCredentials getUser checkCredentials createAuthenticatedToken onAuthenticationFailure onAuthenticationSuccess supportsRememberMe Devolver respuesta adecuada Validar token Obtener usuario a partir de JWT true Crear token de Symfony (no JWT)
- 121. La interfaz GuardAuthenticator getCredentials getUser checkCredentials createAuthenticatedToken onAuthenticationFailure onAuthenticationSuccess supportsRememberMe No hacer nada Devolver respuesta adecuada Validar token Obtener usuario a partir de JWT true Crear token de Symfony (no JWT)
- 122. La interfaz GuardAuthenticator getCredentials getUser checkCredentials createAuthenticatedToken onAuthenticationFailure onAuthenticationSuccess supportsRememberMe false No hacer nada Devolver respuesta adecuada Validar token Obtener usuario a partir de JWT true Crear token de Symfony (no JWT)
- 123. La interfaz GuardAuthenticator getCredentials getUser checkCredentials createAuthenticatedToken onAuthenticationFailure onAuthenticationSuccess supportsRememberMe false No hacer nada Devolver respuesta adecuada Validar token Obtener usuario a partir de JWT true Crear token de Symfony (no JWT)
- 124. JWTTokenAuthenticator use LexikBundleJWTAuthenticationBundleSecurityGuardJWTTokenAuthenticator as BaseAuthenticator; class MiTokenAuthenticator extends BaseAuthenticator { } security: # ... firewalls: # ... otra_api: pattern: ^/otraapi stateless: true guard: authenticators: - app.mi_token_authenticator
- 125. FAQ
- 126. Oauth vs JWT? Oauth + JWT?
- 127. Usos fuera de headers token_extractors: authorization_header: enabled: true prefix: Bearer name: Authorization cookie: enabled: false name: BEARER query_parameter: enabled: false name: bearer
- 128. Cuántos datos caben en un token? https://www.flickr.com/photos/highwaysagency/6008275527
- 129. Invalidar tokens
- 130. Enlaces con caducidad $user = $this->getUser(); $jwtManager = $this->get('lexik_jwt_authentication.jwt_manager'); $token2 = $jwtManager->create($user); <a href="{{ path('reset_password', {'bearer':authToken.credentials}) }}”> Reset password </a> Controlador Vista
- 131. Renovar tokens 👌
- 132. Impersonar usuarios en APIs 👌
- 133. Impersonar usuarios en APIs HEADER: X-Switch-User: johndoe
- 134. Requests a otros dominios 👌
- 135. Ejemplo de uso con React