Meetup En mi local funciona - Protegiendo tu API REST con JWT en aplicaciones .NET
0 recomendaciones383 vistas
Se inauguró un meetup en Barcelona centrado en la seguridad de APIs REST usando JWT en aplicaciones .NET, con una agenda que incluye conceptos básicos de seguridad y el funcionamiento de tokens. El evento destacó la importancia de utilizar HTTPS para encriptar las solicitudes y garantizó la integridad de los datos a través de tokens firmados digitalmente. También se discutieron vulnerabilidades y la estructura de los tokens JWT, incluyendo su ciclo de vida y manejo en diferentes entornos.
Meetup En mi local funciona - Protegiendo tu API REST con JWT en aplicaciones .NET
- 2. Agenda: • Inauguración del Meetup de En Mi Local Funciona Barcelona • Protegiendo tu API REST con JWT en aplicaciones .NET • Cervezas y picoteo.
- 3. Comenzamos el blog en 2016 Y poco a poco hemos ido creciendo:
- 4. Gracias a todos los que lo habéis hecho posible Más de 90 posts de más de 50 compañeros
- 5. Protegiendo tu API REST con JWT en aplicaciones .NET
- 6. 1. Conceptos básicos de seguridad 2. Cookies vs Tokens 3. Definiciones de JWT 4. Fundamentos de JWT 5. Anatomía de JWT 6. Estructura de un Token 7. Nuestros amigos debuggers 8. Ciclo de vida de un Token 9. Librerías y vulnerabilidades 10.Vamos a la acción
- 7. UN REPASO A CONCEPTOS BASICOS Autenticación - Recepción hotel - Login con password - HTTP 401 Unauthorized Autorización - Llave de la habitación - Permisos de acceso - HTTP 403 Forbidden
- 8. Cookies: WebForms, asp.net mvc, etc Sesión: Necesitan ser guardas en el servidor, -Escalable Datos: Contiene la sessionID, AUTH del usuario Tokens: Api key, OAuth2, openID, SSO, etc. Sesión: Se almacena en cada cliente, +Escalable Datos: Contiene información del usuario Cookies vs Tokens
- 10. • Desktop, Mobile & Web Ready!! • Ligero: podemos codificar gran cantidad de datos y pasarlo como una cadena. • Self-container: Delegamos mantener el estado al cliente. • Stateless: Creamos servicios optimizados desacoplados del servidor . • Scalable: Los webserver pueden escalar sin problemas y aumentar en rendimiento. • La información es confiable porque está firmada digitalmente. • "Authorization: Bearer token“ es la forma más común de enviarlo (existen otras). • ¡Nos olvidamos de cookies! • Los JWT son mecanismos para transferir datos, no para asegurarlo • Los JWT son seguros cuando se utiliza conjuntamente con HTTPS RECORDAR: Siempre, debemos usar HTTPS entre el cliente/servidor para encriptar las peticiones. • JWT sirve para transmitir información de un usuario garantizando integridad de datos entre un cliente/servidor mediante una cadena de texto codificada en Base64.
- 11. ANATOMIA DEL TOKEN HEADER: Indica el algoritmo y tipo de Token. PAYLOAD: Datos de usuario/claims SIGNATURE: la firma, para verificar que el token es válido.
- 12. ESTRUCTURA DEL TOKEN (Claims) Claims: No son obligatorios. Claims: Se recomienda seguir este formato. Claims: No todas las librerías .NET los implementan. jti: Es muy útil para usar Tokens de un solo uso y evitar ataques. Especificación: https://tools.ietf.org/html/rfc7519
- 13. JWT – ESTRUCTURA DEL TOKEN HEADER: Algoritmo Hash HS256 y token JWT. PAYLOAD: Datos de nombre usuario y lo que necesite nuestra API para validar la petición, recordar que nosotros generamos el token y podemos incluir todos los atributos que queramos. SIGNATURE: Firma para la integridad del Token Aquí lo importante es el “SECRET" con el que firmamos y que ahora explicaremos.
- 15. DEMO: Lo importante es el SECRET con el que firmamos el token y no debemos darlo a nadie.
- 16. JWT LIBRERIAS Y VULNERABILIDADES https://docs.microsoft.com/en-us/security-updates
- 18. Ciclo de vida de un Token
- 20. DEMO ASP.NET WEB API
- 21. DEBUGGERS
- 22. CUESTIONES CLAVE • Que pasa cuando recibo el token en mi controlador • Que pasa cuando caduca el token en mi aplicación • Que pasa cuando realizamos logout en app/web • Que pasa con mis token en devlocal y producción • Que pasa si tengo varias API REST que usan JWT • Quien y donde se gestionan los usuarios de mi API
- 23. PREGUNTAS
- 24. REFERENCIAS • https://enmilocalfunciona.io/construyendo-una-web-api-rest-segura-con-json-web-token-en-net-parte-i/ • https://enmilocalfunciona.io/construyendo-una-web-api-rest-segura-con-json-web-token-en-net-parte-ii/ • https://enmilocalfunciona.io/construyendo-una-web-api-rest-segura-con-json-web-token-en-net-parte-iii/ • https://github.com/santimacnet/WebAPI-Segura-JWT • https://jwt.io • https://www.jsonwebtoken.io • https://tools.ietf.org/html/rfc7519 • https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/3214296 • https://auth0.com/blog/ten-things-you-should-know-about-tokens-and-cookies/