Asegurando APIs en Symfony con JWT

deSymfony 30 junio - 1 julio 2017
Castellón
ASEGURANDO APIS
EN SYMFONY CON JWT
Nacho Martín

deSymfony
¡Muchas gracias a nuestros
patrocinadores!

Programo en Limenius
Casi todos los proyectos
necesitan una API
Hacemos aplicaciones a medida
con Symfony y React
JWT es una buena herramienta
para asegurarlas

Por qué es esto necesario
¿Por qué no está todo inventado?

Autenticación con Cookies
Cliente
(navegador)
Servidor
BD
POST /login_check
username: "nacho",
password: "patata"

Cliente
(navegador)
Servidor
BD
Obtiene usuario
Veriﬁca credenciales
Guarda sesión

Cliente
(navegador)
Servidor
BD
Envía cookie
al cliente
Set-Cookie: PHPSESSIONID=HOLA…

Cliente
(navegador)
Servidor
BD
Usa cookie para
identiﬁcarse
Cookie: PHPSESSIONID=HOLA

Problemas con Cookies
Problemas con CORS
Implementación no natural en algunos clientes
Hay que protegerse contra CSRF
Requiere una gestión de sesión y pensar en cómo escalar
Mantienen un estado (sesión)

Estado en REST
[…] communication must be stateless in nature, […], such that
each request from client to server must contain all of the
information necessary to understand the request, and
cannot take advantage of any stored context on the
server. Session state is therefore kept entirely on the client.

Cómo siempre, hay razones
Requiere una gestión de sesión, y pensar en cómo escalar
¿Qué hacer con un balanceador de carga?
¿Dónde guardar las sesiones?

JOSE
JSON Object Signing and Encryption
{
JWT
JWA
JWS
JWE
JWK

JWT solo es un formato de tokens
Pero muchas veces decimos “usar JWT”
Para referirnos a una forma de trabajar con ellos
https://www.ﬂickr.com/photos/tokencompany/8073379662

Autenticación con JWT
Cliente
(navegador)
Servidor
BD
POST /login_check
username: "nacho",
password: "patata"

Cliente
(navegador)
Servidor
BD
Obtiene usuario
Veriﬁca credenciales
Guarda sesión?

Cliente
(navegador)
Servidor
BD
Envía token
al cliente
{“token”:"tomaUnToken"}

Cliente
(navegador)
Servidor
BD
Usa token para
identiﬁcarse
Authorization: Bearer tomaUnToken

Uso en JavaScript
fetch(baseUrl + '/admin/api/recipes', {
method: 'POST',
headers: {
'Accept': 'application/json',
'Content-Type': 'application/json',
'Authorization': 'Bearer '+token,
},
body: JSON.stringify( data )
})

Almacenamiento en JavaScript
window.localStorage.setItem('access_token', token)
window.localStorage.getItem('access_token')

Almacenamiento en JavaScript
window.localStorage.setItem('access_token', token)
window.localStorage.getItem('access_token')
Ya no tenemos CSRF, ahora ojo con ataques XSS

El famoso token
eyJhbGciOiJSUzI1NiJ9.eyJyb2xlcyI6WyJST0xFX1VTRVIiXSwid
XNlcm5hbWUiOiJuYWNobyIsImlhdCI6MTQ5ODE0MjA3Niw
iZXhwIjoxNDk4MTQ1Njc2fQ

El famoso token

Hay un punto
El famoso token

El famoso token
{“alg":"none"}
{
“username":"nacho",
“iat":1498142076,
“exp”:1498145676
}

Base64Url
eyJhbGciOiJSUzI1NiJ9{“alg":"none"}
No está cifrado (todos lo pueden leer)
Solo está codiﬁcado
Esto solo sirve para que pueda viajar en URLs
Y en cualquier sitio donde puedan viajar strings

Base64Url
{
“iat":1498142076,
“exp”:1498145676
}
¿Me puedo ﬁar de esto?

El token completo
eyJhbGciOiJSUzI1NiJ9.eyJyb2xlcyI6WyJST0xFX1VTRVIiXSwidXNlcm5hbWUiOiJuYWNobyIsImlhdCI6MTQ5ODE0MjA3NiwiZXh
wIjoxNDk4MTQ1Njc2fQ.jomtnO16Tik6jxU_0HmsXFxbUSyBoNTu8RVSbQ9jEKUfYEFTG8QZrsSpNl5uzlXf-
hP2zx1YmPTow1jXGyoFjV6Nk1e7pFlw2s8fSrIZpT2ZFBuVPefKhSWXYoSUHGZWtMFMU-
yghnWA6tlFD5UcJiDQ3ZlUCbLxOlDdygUoC841aR9R87otefdQUEKY_faGq1Tl-
KxJfjndG4HENgC7M52JaX5xFKmOlI1mKXqDvVOrCTil3yOcqxQv94SZjqhG5V7NLaaslMDXVl4fzJC-
WWE_Eo0xzfOSxMAZ7NBEvha207pjl8FAszQDZ0uuqxfPLqb4QnpALnFAGip4hlu28wRccAsWJQ6uSYtClrE9Kwt7Vlo4PrPX3zqMb
_YaRI1QUco6qjj2AsCf18-0f5XvgqrwSoU_73w4pgsj7rUyft9mwe3tiUYCoUP_dKFJfcz_ofHScpsWfFJ4lD4TIzpKf1LfLFwRUcpQuJdR
K8-1C_x5dJILrO2fSKZbxFCq_-
zB2UHmbH8eFQQYxIpS4eDjFDZTeFLOzruapM10taDQ8buGOyVUx9vwTJoWq9dFuqVAdhFc9h6iXNy0QzI46uvN-
en1n6KVsKTfaLecvCYhIIt32Z5mYD3YgDEeRnLZ5TIgykiVNL9SZCGphzv6h5MEs_xQyDo6XOsu92tPtbqyvI4

El token completo
eyJhbGciOiJSUzI1NiJ9.eyJyb2xlcyI6WyJST0xFX1VTRVIiXSwidXNlcm5hbWUiOiJuYWNobyIsImlhdCI6MTQ5ODE0MjA3NiwiZXh
wIjoxNDk4MTQ1Njc2fQ.jomtnO16Tik6jxU_0HmsXFxbUSyBoNTu8RVSbQ9jEKUfYEFTG8QZrsSpNl5uzlXf-
hP2zx1YmPTow1jXGyoFjV6Nk1e7pFlw2s8fSrIZpT2ZFBuVPefKhSWXYoSUHGZWtMFMU-
yghnWA6tlFD5UcJiDQ3ZlUCbLxOlDdygUoC841aR9R87otefdQUEKY_faGq1Tl-
KxJfjndG4HENgC7M52JaX5xFKmOlI1mKXqDvVOrCTil3yOcqxQv94SZjqhG5V7NLaaslMDXVl4fzJC-
WWE_Eo0xzfOSxMAZ7NBEvha207pjl8FAszQDZ0uuqxfPLqb4QnpALnFAGip4hlu28wRccAsWJQ6uSYtClrE9Kwt7Vlo4PrPX3zqMb
_YaRI1QUco6qjj2AsCf18-0f5XvgqrwSoU_73w4pgsj7rUyft9mwe3tiUYCoUP_dKFJfcz_ofHScpsWfFJ4lD4TIzpKf1LfLFwRUcpQuJdR
K8-1C_x5dJILrO2fSKZbxFCq_-
zB2UHmbH8eFQQYxIpS4eDjFDZTeFLOzruapM10taDQ8buGOyVUx9vwTJoWq9dFuqVAdhFc9h6iXNy0QzI46uvN-
en1n6KVsKTfaLecvCYhIIt32Z5mYD3YgDEeRnLZ5TIgykiVNL9SZCGphzv6h5MEs_xQyDo6XOsu92tPtbqyvI4
header.claims.signature

Pero sí está ﬁrmado (los intermediarios no lo
pueden modiﬁcar sin que nos enteremos)
No está cifrado

Header
{
“typ”:”JWT”,
“alg”:”RS256”
}

Header
{
“alg”:”RS256”
}
Tipo de token

Header
{
“alg”:”RS256”
}
Tipo de token
Algoritmo de hashing

¿Qué algoritmo usar?
JWA (rfc7518)

Diferencia simétrico/asimétrico
Simétrico: usamos la misma clave para ﬁrmar y validar.
Asimétrico: usamos distintas claves para ﬁrmar y validar.

RS256
RS384
RS512
Algoritmos
HS256
HS384
HS512
ES256
ES384
ES512
HMAC ECDSA RSA
PS256
PS384
PS348
RSASSA-PSS
none

RS256
RS384
RS512
Algoritmos
HS256
HS384
HS512
ES256
ES384
ES512
HMAC ECDSA RSA
PS256
PS384
PS348
RSASSA-PSS
none
Simétrico

RS256
RS384
RS512
Algoritmos
HS256
HS384
HS512
ES256
ES384
ES512
HMAC ECDSA RSA
PS256
PS384
PS348
RSASSA-PSS
none
Simétrico Asimétricos

RS256
RS384
RS512
Algoritmos
HS256
HS384
HS512
ES256
ES384
ES512
HMAC ECDSA
RS256
RS384
RS512
RSA
PS256
PS384
PS348
RSASSA-PSS
none
Simétrico Asimétricos

Claims
{
“iat":1498142076,
“exp”:1498145676
}

Registered claims
jti
iss
aud
sub
iat
exp
nbf
Id del token: String
Issuer (emisor): StringOrUri
Audiencia: StringOrUri
Subject (tema): StringOrUri
Cuándo se creó: NumericDate
Cuándo expira: NumericDate
Tiempo hasta válidez: NumericDate

Custom claims
{
“iat":1498142076,
“exp”:1498145676
}
Podemos añadir lo que queramos.
Solo hay que tener en cuenta:
Ser conciso.
Los datos no van cifrados (el cliente los ve).

Firma
Signature = algoritmo(payload, key)
Payload = Base64URL(headers)
+ ”.”
+ Base64URL(claims)
JWS (rfc7515)

Importante: Usar TLS (“SSL”)

Caso: Mi app en JavaScript se ve distinta
dependiendo del rol del usuario

Con Cookies
Cliente Servidor
BD

Con Cookies
Cliente Servidor
BD
Tengo una cookie pero
no sé qué usuario soy
ni qué permisos tengo

Con Cookies
Cliente Servidor
BD
Obtener usuario

Con Cookies
Cliente Servidor
BD
Obtener usuario
Y ahora mostramos

Con JWT
Cliente Servidor
BD
Token: ejh9…

Con JWT
Cliente Servidor
BD
Token: ejh9…
{
“iat":1498142076,
“exp”:1498145676
}

Con JWT
Cliente Servidor
BD
Token: ejh9…
{
“iat":1498142076,
“exp”:1498145676
}
Tenemos todos los datos

Con JWT
Cliente
Token: ejh9…
{
“iat":1498142076,
“exp”:1498145676
}
Tenemos todos los datos

Microservicios
Auth
Clave privada y pública
Consulta
Clave pública
Cliente
Clave pública
Pedidos
Clave pública

Microservicios
Auth
Consulta
Clave pública
Cliente
Clave pública
Pedidos
Clave pública
{
“aud”:”consulta",
}

Microservicios
Auth
Consulta
Clave pública
Cliente
Clave pública
Pedidos
Clave pública
{
“aud”:”consulta",
}
✘

Microservicios
Auth
Clave privada
Consulta
Cliente
Clave pública
Clave pública
Pedidos
Gateway

Crear tokens
use LcobucciJWTBuilder;
use LcobucciJWTSignerKeychain;
use LcobucciJWTSignerRsaSha256;
$signer = new Sha256();
$keychain = new Keychain();
$privateKey = $keychain->getPrivateKey('ﬁle://path');
$token = (new Builder())->setIssuer('http://example.com')
->setAudience('http://example.org')
->setId('4f1g23a12aa', true)
->setIssuedAt(time())
->setNotBefore(time() + 60)
->setExpiration(time() + 3600)
->set('uid', 1)
->sign($signer, $privateKey)
->getToken();

Validar tokens
use LcobucciJWTSignerKeychain;
use LcobucciJWTSignerRsaSha256;
use LcobucciJWTValidationData;
$signer = new Sha256();
$keychain = new Keychain();
$publicKey = $keychain->getPublicKey('ﬁle://path');
$data = newValidationData();
$data->setIssuer('http://example.com');
$data->setAudience('http://example.org');
$data->setId('4f1g23a12aa');
$token->validate($data);
$token->verify($signer, $publicKey);

Instalación
composer require lexik/jwt-authentication-bundle
$bundles = array(
// ...
new LexikBundleJWTAuthenticationBundleLexikJWTAuthenticationBundle(),
// ...
);
app/conﬁg/AppKernel.php

Crear claves
$ openssl genrsa -out var/jwt/private.pem -aes256 4096
$ openssl rsa -pubout -in app/jwt/private.pem -out var/jwt/public.pem

Crear claves
Clave privada

Crear claves
Clave privada
Clave pública

Configuración
app/config/parameters.yml
app/config/config.yml
lexik_jwt_authentication:
private_key_path: %jwt_private_key_path%
public_key_path: %jwt_public_key_path%
pass_phrase: %jwt_key_pass_phrase%
token_ttl: %jwt_token_ttl%
parameters:
jwt_private_key_path: '%kernel.root_dir%/../var/jwt/private.pem'
jwt_public_key_path: '%kernel.root_dir%/../var/jwt/public.pem'
jwt_key_pass_phrase: patata
jwt_token_ttl: 3600

Conﬁguración
encoder:
service: lexik_jwt_authentication.encoder.lcobucci
parameters:
jwt_token_ttl: 3600

Conﬁguración
encoder:
service: lexik_jwt_authentication.encoder.lcobucci
parameters:
jwt_token_ttl: 3600
Probablemente será default en algún punto

firewalls:
login:
pattern: ^/api/login
stateless: true
anonymous: true
form_login:
check_path: /api/login_check
success_handler: lexik_jwt_authentication.handler.authentication_success
failure_handler: lexik_jwt_authentication.handler.authentication_failure
require_previous_session: false
api:
pattern: ^/api
stateless: true
guard:
authenticators:
- lexik_jwt_authentication.jwt_token_authenticator
Security config
app/config/security.yml

firewalls:
login:
pattern: ^/api/login
stateless: true
anonymous: true
form_login:
check_path: /api/login_check
success_handler: lexik_jwt_authentication.handler.authentication_success
failure_handler: lexik_jwt_authentication.handler.authentication_failure
require_previous_session: false
api:
pattern: ^/api
stateless: true
guard:
authenticators:
- lexik_jwt_authentication.jwt_token_authenticator
Security config
app/config/security.yml
No asigna cookies

Routing conﬁg
app/conﬁg/routing.yml
api_login_check:
path: /api/login_check

Eventos
JWT_CREATED: Añadir/quitar datos a claims.
JWT_DECODED: Validaciones extra.
JWT_AUTHENTICATED: Añadir datos al token de Symfony.
AUTHENTICATION_FAILURE
JWT_INVALID
JWT_NOT_FOUND
JWT_EXPIRED
}Cambiar respuestas.
AUTHENTICATION_SUCCESS

Añadir/quitar datos a payload
class JWTCreatedListener
{
public function onJWTCreated(JWTCreatedEvent $event)
{
$payload = $event->getData();
$user = $event->getUser();
if ($user->canOrder()) {
$payload['aud'] = ‘pedidos';
}
$event->setData($payload);
}
}

Comprobaciones extra
class JWTDecodedListener
{
public function onJWTDecoded(JWTDecodedEvent $event)
{
$payload = $event->getPayload();
if (!isset($payload['aud'])
|| $payload['aud'] !== 'pedidos') {
$event->markAsInvalid();
}
}
}

Añadir atributo API a Token Sf
class JWTAuthenticatedListener
{
public function onJWTAuthenticated(JWTAuthenticatedEvent $event)
{
$token = $event->getToken();
$token->setAttribute('api', true);
}
}
public function pagesAction(Request $request)
{
if ($this->get(‘security.token_storage')
->getToken()
->getAttribute(‘api')) {
return new JsonResponse('hola usuario de api');
}
}

¿Qué pasa si quiero…?
Tener diferentes estrategias en distintos ﬁrewalls
Hacer algo muy particular

AuthenticationProviderInterface
Security

UserProvider
Security

AuthenticationEntryPointInterface
UserProvider
Security

AuthenticationListener
UserProvider
Security

UserProvider
Security
Events

UserProvider
Security
Events
UserInterface

AbstractToken
UserProvider
Security
Events
UserInterface

AbstractToken
UserProvider
Security
Voters
Events
UserInterface

La interfaz GuardAuthenticator
interface GuardAuthenticatorInterface
{
public function getCredentials(Request $request);
public function getUser($credentials, UserProviderInterface $userProvider);
public function checkCredentials($credentials, UserInterface $user);
public function createAuthenticatedToken(UserInterface $user, $providerKey);
public function onAuthenticationFailure(Request $request,AuthenticationException $exception);
public function onAuthenticationSuccess(Request $request,TokenInterface $token, $providerKey);
public function supportsRememberMe();
}

getCredentials
getUser
checkCredentials
createAuthenticatedToken
onAuthenticationFailure
onAuthenticationSuccess
supportsRememberMe

getCredentials
getUser
checkCredentials
supportsRememberMe
Validar token

getCredentials
getUser
checkCredentials
supportsRememberMe
Validar token
Obtener usuario a partir de JWT

getCredentials
getUser
checkCredentials
supportsRememberMe
Validar token
true

getCredentials
getUser
checkCredentials
supportsRememberMe
Validar token
true
Crear token de Symfony (no JWT)

getCredentials
getUser
checkCredentials
supportsRememberMe
Devolver respuesta adecuada
Validar token
true

getCredentials
getUser
checkCredentials
supportsRememberMe
No hacer nada
Validar token
true

getCredentials
getUser
checkCredentials
supportsRememberMe false
No hacer nada
Validar token
true

JWTTokenAuthenticator
use LexikBundleJWTAuthenticationBundleSecurityGuardJWTTokenAuthenticator as BaseAuthenticator;
class MiTokenAuthenticator extends BaseAuthenticator
{
}
security:
# ...
ﬁrewalls:
# ...
otra_api:
pattern: ^/otraapi
stateless: true
guard:
authenticators:
- app.mi_token_authenticator

Usos fuera de headers
token_extractors:
authorization_header:
enabled: true
prefix: Bearer
name: Authorization
cookie:
enabled: false
name: BEARER
query_parameter:
enabled: false
name: bearer

Cuántos datos caben en un token?
https://www.ﬂickr.com/photos/highwaysagency/6008275527

Enlaces con caducidad
$user = $this->getUser();
$jwtManager = $this->get('lexik_jwt_authentication.jwt_manager');
$token2 = $jwtManager->create($user);
<a href="{{ path('reset_password', {'bearer':authToken.credentials}) }}”>
Reset password
</a>
Controlador
Vista

Impersonar usuarios en APIs
👌

Impersonar usuarios en APIs
HEADER:
X-Switch-User: johndoe

Requests a otros dominios
👌

¡Gracias!
@nacmartin
nacho@limenius.com
http://limenius.com
Formación, consultoría
y desarrollo de proyectos

Asegurando APIs en Symfony con JWT

Recomendados

Más contenido relacionado

La actualidad más candente (20)

Similar a Asegurando APIs en Symfony con JWT (20)

Más de Ignacio Martín (18)

Último (8)

Asegurando APIs en Symfony con JWT