O documento discute o JSON Web Token (JWT), um padrão aberto para a autenticação e transporte seguro de informações entre partes. Ele explica que JWTs são auto-contidos, compactos e seguros, e podem ser usados para autenticação, transporte de dados e interceptação. A estrutura de um JWT inclui cabeçalho, carga útil e assinatura.

1. JSON WEB TOKEN
Transporte Compacto e Seguro

2. QUEM SOU?
LEANDRO MARTINS
Fullstack Developer
Aficcionado por Segurança da
Informação
Não ergas alto um edifício sem fortes alicerces, se o
fizeres viverás com medo.
Provérbio Persa
@leandrodma

3. ROTEIRO
1. JWT
2. Aplicação
3. Interceptando e expondo (jwt.io)
4. Algoritmos
5. Estrutura
6. Uso comum
7. Isso é tudo

4. Introdução
O JWT
● A RFC 7519
● Auto contido
● Compacto
● Seguro
● Autenticação
● Troca de Informação

5. Autenticação
e
Transporte de Dados
APLICAÇÕES

6. I
N
T
E
R
C
E
P
T
A
Ç
Ã
O

7. Chave Simétrica
Algoritmos
● AES
● Blowfish
● Serpent
Chave Assimétrica
● RSA
● ECDSA
Hash
● SHA
● MD5
Encode
● Base64
● Base32

8. Header
Payload
Signature
iss: (Issuer) - Emissor do token
sub: (Subject) - A quem o token pertence, em geral ID do usuário
aud: (Audience) - Aplicação que usará o token
exp: (Exp. Time) - Timestamp da expiração do token
nbf: (Not before) - Timestamp do início da utilização do token
iat: (Issued at) - Timestamp da criação do token
jti: (Jwt ID) - ID único do token
outros: Private Claims
Typ: Tipo do Token
Alg: Criptografia utilizada para a chave, caso haja.
jwk: Chave pública usada para assinar digitalmente o token
HMACSHA256(
base64(header) + "." + base64(payload), chavede256BITS
)
Anatomia de um Token JWT

9. Uso Comum

10. Obrigado
@leandrodma