JWT es un
estándar RFC 7519 para
transmitir información con la identidad y claims de
un usuario de forma segura entre un cliente/servidor. Dicha información puede
ser verificada y confiable porque está firmada digitalmente.
Así en vez de
crear una sesión en el servidor y estar enviando cookies a los usuarios, se
utilizará un mecanismo de autenticación sin estado (la sesión del usuario nunca
se guarda en el proveedor de identidad o en el proveedor del servicio)
retornando un JSON Web Token via HTTP Header siempre y cuando el usuario
ingrese sus credenciales correctamente.
El usuario será
ahora el responsable de guardar el token que el servidor le envia en el proceso de autenticación a fin de acceder a una
ruta protegida del servicio Web Api, si el token está presente y es válido, el
proveedor del servicio otorga accesos a los recursos protegidos. Como los JWTs
contienen toda la información necesaria en sí misma, se reduce la necesidad de
consultar base de datos u otras fuentes de información múltiples veces.
Propiedades claim
estándar
El estándar
define los siguientes campos que pueden incluirse en los tokens JWT:
·
Issuer
(iss) - Identifica el proveedor de identidad que emitió el JWT.
·
Subject
(sub) - Identifica el objeto o usuario en nombre del cual fue emitido el JWT,
se puede usar para limitar su uso a ciertos casos.
·
Audience
(aud) - Identifica la audiencia o receptores para lo que el JWT fue emitido.
Cada servicio que recibe un JWT para su validación tiene que controlar la
audiencia a la que el JWT está destinado. Si el proveedor del servicio no se
encuentra presente en el campo aud, entonces el JWT tiene que ser
rechazado.
·
Expiration
Time (exp) - Una fecha que sirva para verificar si el JWT está vencido y
obligar al usuario a volver a autenticarse.
·
Not
Before (nbf) - Indica desde que momento se va a empezar a aceptar un JWT, EL
JWT no tiene que ser aceptado si el token es utilizando antes
de este tiempo.
·
Issued
At (iat) - Indica cuando fue creado el JWT.
·
JWT
ID (jti) - Un identificador único para cada JWT.
para el ejemplo lo primero será crear la contraseña a utilizar como secret key en el proceso de autenticación, se creó en la página https://passwordsgenerator.net/ con una longitud de 128 tal como se muestra
se generó el password +$3Vs@JmcdncM?@yBs$D_yFJ$TR5#pDbKwuX6787=k@6^GYN*x*#9hrEv9tBefaEG7e3XHh=Lw62$$hxN-g#artN8=Xqg&6Pt#W=yYU5!RT6B#VRcq4+v$L+rM4UEj25
la aplicación cliente que consumirá el servicio se encuentra en el puerto 55987 en IIS Express tal como se muestra en la figura, este numero de puerto se utilizara en los claims issuer y audience del JWT.
colocar en el controlador Empleado de la aplicación Web Api el atributo Authorize, de esta manera solamente los clientes que envíen el token podrán consumir el servicio
se utilizará la aplicación Web Api creada en esta entrada y se agregaran:
el archivo Models.cs en el dentro de la carpeta Models.
el archivo LoginController dentro de la carpeta Controllers.
el archivo TokenValidationHandler en el directorio raíz, con lo que el Solution Explorer de la aplicación queda
en el archivo Models.cs se definen las clases para login de usuario y para respuesta ante login fallido
namespace WebApi2MVC.Models { public class Models {} public class LoginRequest{ public string Username { get; set; } public string Password { get; set; } } public class LoginResponse{ public LoginResponse() { this.Token = ""; this.responseMsg = new HttpResponseMessage() { StatusCode = System.Net.HttpStatusCode.Unauthorized }; } public string Token { get; set; } public HttpResponseMessage responseMsg { get; set; } } }
Ahora debe agregarse el archivo TokenValidationHandler.cs en el cual se utilizará DelegatingHandler para capturar los mensajes HTTP enviados al servicio a fin de verificar que existe un token valido.
namespace WebApi2MVC { internal class TokenValidationHandler : DelegatingHandler { private static bool TryRetrieveToken(HttpRequestMessage request, out string token) { token = null; IEnumerableel archivo LoginController será el encargado de validar las credenciales, en caso de credenciales validas se creará el token y se enviará al clienteauthzHeaders; if (!request.Headers.TryGetValues("Authorization", out authzHeaders) || authzHeaders.Count() > 1) { return false; } var bearerToken = authzHeaders.ElementAt(0); token = bearerToken.StartsWith("Bearer ") ? bearerToken.Substring(7) : bearerToken; return true; } protected override Task SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) { HttpStatusCode statusCode; string token; if (!TryRetrieveToken(request, out token)) { statusCode = HttpStatusCode.Unauthorized; return base.SendAsync(request, cancellationToken); } try { const string sec = "+$3Vs@JmcdncM?@yBs$D_yFJ$TR5#pDbKwuX6787=k@6^GYN*x*#9hrEv9tBefaEG7e3XHh=Lw62$$hxN-g#artN8=Xqg&6Pt#W=yYU5!RT6B#VRcq4+v$L+rM4UEj25"; var now = DateTime.UtcNow; var securityKey = new Microsoft.IdentityModel.Tokens.SymmetricSecurityKey(System.Text.Encoding.Default.GetBytes(sec)); SecurityToken securityToken; JwtSecurityTokenHandler handler = new JwtSecurityTokenHandler(); TokenValidationParameters validationParameters = new TokenValidationParameters() { ValidAudience = "http://localhost:55987", ValidIssuer = "http://localhost:55987", ValidateLifetime = true, ValidateIssuerSigningKey = true, LifetimeValidator = this.LifetimeValidator, IssuerSigningKey = securityKey }; Thread.CurrentPrincipal = handler.ValidateToken(token, validationParameters, out securityToken); HttpContext.Current.User = handler.ValidateToken(token, validationParameters, out securityToken); return base.SendAsync(request, cancellationToken); } catch (SecurityTokenValidationException) { statusCode = HttpStatusCode.Unauthorized; } catch (Exception) { statusCode = HttpStatusCode.InternalServerError; } return Task .Factory.StartNew(() => new HttpResponseMessage(statusCode) { }); } public bool LifetimeValidator(DateTime? notBefore, DateTime? expires, SecurityToken securityToken, TokenValidationParameters validationParameters) { if (expires != null) { if (DateTime.UtcNow < expires) return true; } return false; } } }
namespace WebApi2MVC.Controllers { [RoutePrefix("api/login")] public class LoginController : ApiController { [AllowAnonymous] [HttpPost] [Route("authenticate")] public IHttpActionResult Authenticate(LoginRequest login) { var loginResponse = new LoginResponse { }; LoginRequest loginrequest = new LoginRequest { }; loginrequest.Username = login.Username.ToLower(); loginrequest.Password = login.Password; IHttpActionResult response; HttpResponseMessage responseMsg = new HttpResponseMessage(); bool isUsernamePasswordValid = false; if (login != null) isUsernamePasswordValid = loginrequest.Password == "pabletoreto.blogspot.com" ? true : false; if (isUsernamePasswordValid) { string token = createToken(loginrequest.Username); return Ok(token); } else { loginResponse.responseMsg.StatusCode = HttpStatusCode.Unauthorized; response = ResponseMessage(loginResponse.responseMsg); return response; } } private string createToken(string username) { DateTime issuedAt = DateTime.UtcNow; DateTime expires = DateTime.UtcNow.AddDays(7); var tokenHandler = new JwtSecurityTokenHandler(); ClaimsIdentity claimsIdentity = new ClaimsIdentity(new[] { new Claim(ClaimTypes.Name, username) ,new Claim(ClaimTypes.Country, "El Salvador") ,new Claim(ClaimTypes.Gender, "Macho") ,new Claim(ClaimTypes.Surname, "pabletoreto") ,new Claim(ClaimTypes.Email, "pabletoreto@mail.com") ,new Claim(ClaimTypes.Role, "IT") }); const string sec = "+$3Vs@JmcdncM?@yBs$D_yFJ$TR5#pDbKwuX6787=k@6^GYN*x*#9hrEv9tBefaEG7e3XHh=Lw62$$hxN-g#artN8=Xqg&6Pt#W=yYU5!RT6B#VRcq4+v$L+rM4UEj25"; var now = DateTime.UtcNow; var securityKey = new Microsoft.IdentityModel.Tokens.SymmetricSecurityKey(System.Text.Encoding.Default.GetBytes(sec)); var signingCredentials = new Microsoft.IdentityModel.Tokens.SigningCredentials(securityKey, Microsoft.IdentityModel.Tokens.SecurityAlgorithms.HmacSha256Signature); var token = (JwtSecurityToken)tokenHandler.CreateJwtSecurityToken( issuer: "http://localhost:55987", audience: "http://localhost:55987", subject: claimsIdentity, notBefore: issuedAt, expires: expires, signingCredentials: signingCredentials); // claims personalizados var jsonu = new { id = "pabletoreto el mero" }; token.Payload["user"] = jsonu; var payload = new JwtPayload { { "some ", "hello "}, { "scope", "http://dummy.com/"}, }; var tokenString = tokenHandler.WriteToken(token); return tokenString; } } }
para finalizar se debe registrar la clase TokenValidationHandler en el WebApiConfig.cs
public static class WebApiConfig { public static void Register(HttpConfiguration config) { config.MapHttpAttributeRoutes(); config.MessageHandlers.Add(new TokenValidationHandler()); config.Routes.MapHttpRoute( name: "DefaultApi", routeTemplate: "api/{controller}/{id}", defaults: new { id = RouteParameter.Optional } ); config.EnableCors(new EnableCorsAttribute("*", "*", "GET,PUT,POST,DELETE")); var appXmlType = config.Formatters.XmlFormatter.SupportedMediaTypes.FirstOrDefault(t => t.MediaType == "application/xml"); config.Formatters.XmlFormatter.SupportedMediaTypes.Remove(appXmlType); } }ahora se realizarán las pruebas desde Postman, primero se realizará el login
la respuesta es una cadena alfanumérica generada desde el servicio y es enviada al cliente para autenticaciones futuras, evitando tener que enviar credenciales en cada invocación.
esta cadena consta de tres partes separadas por un punto, para decodificar la cadena se puede utilizar la página https://jwt.io/
Ahora se realizará una peticion con el verbo GET para la cual deberemos enviar el token junto con la petición, este token se envía en el encabezamiento de Authorization utilizando el esquema Bearer, este esquema de autenticación fue creado como parte de OAuth 2.0 y en este caso implica darle acceso al portador de este token