JWT - O que é? Como funciona?

O que é?

JWT (JSON Web Token) é um padrão aberto (RFC 7519) para transmitir informações confiáveis e seguras entre partes. Ele consiste em uma cadeia compacta e auto-assinada de informações codificadas em formato JSON, que podem ser usadas para autenticação e autorização. JWT é comumente usado para autenticação de usuários em aplicativos web e mobile, e também pode ser usado para comunicação entre sistemas.

O JWT é um padrão aberto que pode ser usado em qualquer aplicativo que precisa transmitir informações confiáveis e seguras entre as partes, independentemente da plataforma ou linguagem de programação.

Como funciona?

O fluxo de trabalho do JWT é dividido em três etapas:

1 - Geração do Token:

A primeira etapa é a geração do token JWT. Nessa etapa, um servidor ou aplicativo gera um token JWT contendo as informações necessárias para autenticar o usuário. O token é geralmente gerado após o usuário fornecer suas credenciais (como nome de usuário e senha) e o servidor verificar essas credenciais. O token é assinado com uma chave secreta que só é conhecida pelo servidor ou aplicativo que gerou o token.

2 - Envio do Token:

A segunda etapa é o envio do token JWT. Nessa etapa, o servidor ou aplicativo envia o token JWT para o cliente, geralmente em um cabeçalho HTTP "Authorization". O cliente armazena o token para uso posterior, como em solicitações subsequentes para o servidor.

3 - Verificação do Token:

A terceira etapa é a verificação do token JWT. Nessa etapa, o servidor ou aplicativo verifica se o token JWT enviado pelo cliente é válido. O servidor verifica a assinatura do token usando a chave secreta que só é conhecida pelo servidor. Se a assinatura estiver correta, o servidor extrai as informações do token e verifica se o usuário tem permissão para acessar o recurso solicitado. Se o token for inválido ou expirado, o servidor nega o acesso ao recurso solicitado.

Veja um diagrama do fluxo de trabalho aqui.

Veja a estrutura do JWT aqui.

Caso de uso usando Node.js:

1 - Instale as dependências do pacote "jsonwebtoken"

npm install jsonwebtoken

2 - Importe o pacote e crie uma chave secreta para assinar o token JWT:

const jwt = require('jsonwebtoken');
const secret = 'mysecretkey';

3 - Crie uma função de autenticação que gera um token JWT quando um usuário fornece credenciais válidas:

function authenticate(req, res, next) {
 // Obtenha as credenciais do usuário a partir do corpo da solicitação
 const { username, password } = req.body;

 // Verifique se as credenciais são válidas
 if (username === 'admin' && password === 'password') {
// Crie o payload para o token JWT
const payload = {
 username,
};

// Gerar o token JWT
const token = jwt.sign(payload, secret, { expiresIn: '1h' });

// Adiciona o token ao cabeçalho da resposta
res.setHeader('Authorization', `Bearer ${token}`);
next();
 } else {
// Retorna um erro 401 se as credenciais são inválidas
res.status(401).json({ message: 'Invalid credentials' });
 }
}

4 - Use essa função de autenticação em suas rotas protegidas para verificar se o usuário está autenticado antes de permitir o acesso a essas rotas:

app.post('/login', authenticate, (req, res) => {
 res.json({ message: 'Authenticated' });
});

5 - Para validar o token, use a função verify

function protected(req, res, next) {
 // Obtém o token do cabeçalho da solicitação
 const token = req.headers.authorization;

 // Verifica se o token é válido
 jwt.verify(token, secret, (err, decoded) => {
if (err) {
 res.status(401).json({ message: 'Invalid token' });
} else {
 req.decoded = decoded;
 next();
}
 });
}

6 - Use essa função de proteção em suas rotas protegidas:

app.get('/profile', protected, (req, res) => {
 res.json({ message: 'Protected', decoded: req.decoded });
});

Este é um exemplo básico, mas é importante ter em mente que é necessário tratar a segurança de forma adequada e proteger as chaves secret.

fonte: OpenIA