Falamos um pouco sobre JWT no PHPSP Santos Talks + BxSec #2. Confira! (Não liguem para a formatação, o slideshare é assim mesmo) Slides from my first talk about JWT with PHP. Check it out!

1. JWT:
Mais (emoção) segurança na sua
aplicação
GUSTAVO PEREIRA - PHP SP SANTOS TALKS #2

2. Como podemos garantir uma segurança
maior na troca de informações entre o
client/server e entre múltiplas instâncias da
mesma aplicação?

3. Quem sou eu?
12 anos na área de TI
Bacharel em Ciências da Computação
Tecnólogo em Processamento de Dados
Zend Certified PHP Engineer 5.5
Desenvolvedor PL na MT4 Networks
http://www.mt4networks.com.br

4. Slideshare!

5. Quando pensamos em autenticação,
qual é o modelo "convencional"?

7. Cliente Servidor
BD

8. Cliente Servidor
BD
PHP SESSID=toorf9xB(...)
/index.php

9. Cliente Servidor
BD
/login
(username: x, password: y)
PHP SESSID=toorf9xB(...)

10. Cliente Servidor
BD
/login.php
(username: x, password: y)
(Select
username
from
users…)
PHP SESSID=toorf9xB(...)

11. Cliente Servidor
BD
/login.php
(username: x, password: y)
(Select
username
from
users…)
PHP SESSID=toorf9xB(...)
Usuario
Permissões
Guarda Sessão

12. Cliente Servidor
BD
/login.php
(username: x, password: y)
(Select
username
from
users…)
Usuario
Permissões
Guarda Sessão
PHP SESSID=toorf9xB(...)
Sucesso!
Nota:
Resista a tentação de guardar
permissões, dados sensíveis de
usuário nos COOKIES.

13. Quais os problemas dessa
arquitetura?

15. Problemas com CORS
(Cross-Origin Resource Sharing)

16. CSRF?
(Falamos bastante sobre no Talks #1
)

17. Escalabilidade?
Interoperabilidade?

18. REST?
Stateless?
(Cada mensagem HTTP deve
conter tudo o que precisa pra
entender o pedido)

19. REST?
Stateless?
E quem deve manter o estado é o
cliente!

20. Podemos simplificar!

21. https://tools.ietf.org/html/rfc7519

22. JOSE

23. JOSE
Json Object Signing and
Encryption
(Um framework!)

24. JWToken
JWAlgorithm
JWSignature
JWEncryption
JWKey

25. JWToken
JWAlgorithm
JWSignature
JWEncryption
JWKey Ok, esquece… vamos falar só do JWT que engloba tudo

26. Vantagens do JWT?

27. Tudo o que você precisa vai no
request, dentro do Token

28. O Token está criptografado!

29. Microservices
Friendly

30. SSO-friendly
(Acesso a diferentes serviços de uma mesma
aplicação através de apenas uma tentativa de login)

31. Independe de linguagem!

32. OK, mas como
ficaria então?

34. Anatomia de um JWT

35. Header + Payload + Signature
aaaa.bbbbbb.ccccccc
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzY290Y2guaW8iLCJleHAiOjEzMDA4MTkzODAsIm5hbWUiOiJDaH
JpcyBTZXZpbGxlamEiLCJhZG1pbiI6dHJ1ZX0.03f329983b86f7d9a9f5fef85305880101d5e302afafa20154d094b229f75773

36. Header + Payload + Signature

37. CLAIMS

38. Header
{
"alg": "HS256",
"typ": "JWT"
}

39. Header
{
"alg": "HS256", ← Chave
Simétrica
"typ": "JWT"
}

42. Payload
(Reservados e opcionais!)
"iss" - emissor
"sub" - objetivo/assunto
"aud" - consumidor
"exp" - expiração
"nbf" - not before
"iat" - criado em
"jti" - JWT ID

43. Payload
(Públicos)
"adm" - É admin?
"uid" - ID do usuário
"lpd" - Ultimo produto
comprado
Ou seja… o que você
quiser!
CUIDADO

44. Signature
Header + payload

45. E como usamos?
1 - No header...

46. E como usamos?
2 - query String
https://site.com.br?bearer=a
aaaa.bbbbb.ccccc

47. E como usamos?
3 - No corpo da requisição
(POST)

48. E finalmente, COMO CRIAMOS?

50. lcobucci/jwt

52. E no final
teremos...
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI
1NiIsImp0aSI6IjRmMWcyM2ExMm
FhIn0.eyJpc3MiOiJodHRwOlwvXC9
waHBzcHNhbnRvcy5jb20iLCJhdWQ
iOiJodHRwOlwvXC9leGFtcGxlLm9y
ZyIsImp0aSI6IjRmMWcyM2ExMmF
hIiwiaWF0IjoxNTA2Nzc2MDczLCJu
YmYiOjE1MDY3NzYxMzMsImV4cC
I6MTUwNjc3OTY3MywidWlkIjoxL
CJscGQiOjEyMzM0OTF9.5ui0_hs6
WKFFMPHwVBbgANlTufQMWN-
uB-G2glCxE_Q

57. Chave assimétrica
$entSign = new Sha256();
$entKeyChain = new Keychain();
$token = (new Builder())->setIssuer('http://phpspsantos.com');
$token->sign(
$entSign,
$entKeyChain->getPrivateKey($dirPrivKey)
);

58. Chave assimétrica
$entSign = new Sha256();
$entKeyChain = new Keychain();
$token = (new Builder())->setIssuer('http://phpspsantos.com');
$token->verify(
$entSign,
$entKeyChain->getPublicKey($dirPublicKey)
);

59. "Tem pro Laravéu?"

60. https://github.com/tymondesigns/jwt-
auth

61. lexik/LexikJWTAuthenticationBundle
(github)

62. https://github.com/tuupola/slim-jwt-
auth

63. Mas cuidado!

64. 1.A chave
privada
precisa estar
segura!

65. 2. Não dá pra
gerenciar o lado
do cliente Se o cliente perde o celular, como
fazer com que o aplicativo ''seja
deslogado"?

66. 2. Não dá pra
gerenciar o lado
do cliente
Guardar os tokens emitidos
(NoSQL)?
Trocamos a chave privada?
Quando o usuário logar em um
dispositivo, mostramos a lista dos
dispositivos conectados?

67. 3. Use Sempre
um Algoritmo!
{
"typ": "JWT",
"alg": "none"
}

68. OWASP REST_Security_Cheat_Sheet

69. 4. Cuidado com
o tamanho do
Token!

70. E como sempre,
Não existe bala de prata!

71. Saiba mais!
https://www.slideshare.net/brunonm/aplicacoes-stateless-com-php-e-jwt
https://www.slideshare.net/imasters/php-experience-2016-palestra-json-web-
token-jwt
https://www.slideshare.net/nachomartin/asegurando-apis-en-symfony-con-jwt
https://www.youtube.com/watch?v=p2tItlr_3QI
http://jwt.io

72. Dúvidas?

73. Obrigado!

74. Créditos das imagens
Google!
https://stormpath.com/blog/microservices-jwt-spring-boot
http://www.cushwakeatlanta.com/ken-ashley-6-cre-predictions-for-2016/
https://scotch.io/tutorials/the-anatomy-of-a-json-web-token
http://thehipp.org/wp-content/uploads/2015/05/Casper-1995-ScreenShot-49.jpg
https://github.com/rmcdaniel/angular-codeigniter-seed/blob/master/api/application/helpers/jwt_helper.php
http://yellowhammernews.com/wp-
content/uploads/2016/03/bank-vault-