Ir para conteúdo
Carcleo

TOKEN JWT e atenticação em diversos níveis

Recommended Posts

Pessoal, sobre o JWT Json Web Token, tenho algumas dúvidas.

 

Atualmente faço uso de $_SESSION no PHP para autenticar e validar usuários e seus acessos à API e, logins no site/admin, dentre outras coisas.

 

Mas, estudando aqui sobre API's, percebi a grande utilização do JWT em conjunto com a autenticação.

 

1 => No form de login o usuário de identifica
2 => Se as credenciais existirem o usuário ganha o retorno OK e cria uma $_SESSION com as credenciais
 

Mas isso é quando Ambiente Admin e API estão no mesmo domínio.


Quando estão em domínios diferentes está sendo usado o JWT

 

Mas, aí vem a dúvida: É confiável para níveis de acesso e autenticação?

 

Andei pensando em umas coisas:

 

A) Enviar no Token o nível de acesso do usuário. Se é administrador, API, etc... Mas isso pode ser mudado pelo man-in-the-middle.
B) Então pensei em enviar via SECRET. Também não dá pois o segredo deve ser 1 para todo e qualquer acesso ficando impossível a verificação do TOKEN pela API
C) Pensei enviar via cabeçalho (header). Mas no caso, é a API quem gera o Token. Logo, não dá!

 

Será que não existe saída?  

 

Terei mesmo que usar $_SESSION para nível de acesso e JWT para validação da requisição

 

Será que estou tendo uma visão errada do cenário?

 

Alguém pode me ajudar a enxergar isso?

 

Meu sistema de diretórios é:

 

site/admin   //administrador da API
site/api     // A própria API

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

12 horas atrás, Carcleo disse:

Mas, aí vem a dúvida: É confiável para níveis de acesso e autenticação?

JWT é uma autorização é não autenticação. A autenticação permanece normal, oque você gera é um token de autorização após o login em seu sistema.

 

12 horas atrás, Carcleo disse:

Terei mesmo que usar $_SESSION para nível de acesso e JWT para validação da requisição

Pode usar normalmente, mas isso somente para o endpoint onde foi autenticado, se quiser usar em outra api, tem que enviar outros tipos de headers, e claro o Token do JWT

 

12 horas atrás, Carcleo disse:

B) Então pensei em enviar via SECRET. Também não dá pois o segredo deve ser 1 para todo e qualquer acesso ficando impossível a verificação do TOKEN pela API

A secret, deve ficar em seu servidor, é a chave que verificara se o token é valido ou não.

 

12 horas atrás, Carcleo disse:

C) Pensei enviar via cabeçalho (header). Mas no caso, é a API quem gera o Token. Logo, não dá!

 

Tem que enviar de volta o token gerado por header Authorization: Bearer <token>

Você pode criar um middleware que faz esta verificação para liberar as rotas da api.



Se quiser que sua aplicação se comunique com varios endpoints em maquina distintas, mantenha sempre a mesma key secret neste servidores, e bem seguros.


Segue um exemplo basico de uso do JWT

https://www.sitepoint.com/php-authorization-jwt-json-web-tokens/

Compartilhar este post


Link para o post
Compartilhar em outros sites

Amigo, obrigado pelas respostas mas acho que o que eu quero não é nem mesmo viável!

 

O que eu pensei seria o seguinte:

 

A API precisa de um administrador para popular os dados. Mas o /admin não deve ficar em /api/admin. Esse deve ser o meu primeiro erro de pensamento. me corrija se estiver errado! Pois no caso, até o Administrador deverá usar endepoints.

 

Outro problema seria que, se eu envolvesse /admin, teria a seguinte árvore de diretórios

 

/admin

/api

 

Fazendo assim de /admin outra API que irá ter o mesmo sistema de autenticação salvo se eu colocar outro JWT nesta API /admin.

 

Isso porque o usuário da API é um cliente com credenciais de cliente e o usuário de /admim terá credenciais de administrador.

 

Imagino que se eu mantiver o mesmo JWT para ambos ambientes terei problemas com  autorizações e o cliente comum acabará acessando o /admn se tentar.

 

Nesse caso, terei que fazer:

 

/admin    => ambiente de administração da API. Se enpoints de Webservice.

/api         => ambiente da própria API acesso somente com endpoinds impedindo acesso direto ao MySQL

 

Me corrija se eu estiver errado?

 

Tipo, até que ponto é mesmo necessário usar a SESSION para autenticação de usuário e JWT TOKEN para validação ao mesmo tempo!
 

Isso não está claro para mim!

Compartilhar este post


Link para o post
Compartilhar em outros sites
7 horas atrás, Carcleo disse:

Imagino que se eu mantiver o mesmo JWT para ambos ambientes terei problemas com  autorizações e o cliente comum acabará acessando o /admn se tentar.

Neste caso, entra o ACL "Regras de Acesso"

https://pt.wikipedia.org/wiki/Lista_de_controle_de_acesso

Mas as autorizações continuam pelo JWT, independente que se tenha um endpoint para Users Admin e outro para Users "comuns", vou dar um exemplo do meu endpoint users

Quando eu autentico no sistema, me retorna o seguinte resultado.
 

{
    "data": {
        "id": 1,
        "username": "DUARTE",
        "email": "example@outlook.com",
        "email_verified_at": null,
        "active": true,
        "admin": true,
        "last_login": "2020-04-21 00:44:42"
    },
    "meta": {
        "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC9sb2NhbGhvc3Q6ODAwMFwvYXBpXC9hZG1pbmlzdHJhdGl2ZVwvYXV0aFwvbG9naW4iLCJpYXQiOjE1ODc0OTIxNDQsImV4cCI6MTU4NzQ5NTc0NCwibmJmIjoxNTg3NDkyMTQ0LCJqdGkiOiJUS1hRY3JRcmVxaUZqb0R0Iiwic3ViIjoxLCJwcnYiOiIyM2JkNWM4OTQ5ZjYwMGFkYjM5ZTcwMWM0MDA4NzJkYjdhNTk3NmY3In0.UeTE5E4eYZOO9S5wNWCU3I3nA1CZYfc3nxchn6_NE9k",
        "token_type": "bearer",
        "expires_in": 3600
    }
}

A segunda chamada, envio o token de volta, "invalido este token, renovo e trago outro no corpo do json". E o ID do usuario envio via post e seleciono todos o meus dados do banco e as regras de acesso "ACL" e as mantenho em Local Storage no navegador, para uso da aplicação SPA.

{
    "data": {
        "id": 1,
        "username": "WSDUARTE",
        "email": "example@outlook.com",
        "email_verified_at": null,
        "active": true,
        "admin": true,
        "last_login": "2020-04-21 15:02:24",
        "profiles": null,
        "phones": [
            {
                "id": 1,
                "user_id": 1,
                "phone": "(24) 95922-7390"
            }
        ],
        "addresses": [],
        "roles": [
            {
                "id": 1,
                "name": "admin",
                "label": "Administrator",
                "standard": true,
                "permissions": [
                    {
                        "id": 1,
                        "name": "browser",
                        "label": "Browser",
                        "standard": true,
                    },
                    {
                        "id": 2,
                        "name": "create",
                        "label": "Create",
                        "standard": true,
                    },
                    {
                        "id": 3,
                        "name": "list",
                        "label": "List",
                        "standard": false,
                    },
                    {
                        "id": 4,
                        "name": "edit",
                        "label": "Edit",
                        "standard": true,
                    },
                    {
                        "id": 5,
                        "name": "delete",
                        "label": "Delete",
                        "standard": true,
                    }
                ]
            }
        ]
    },
,
    "meta": {
        "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC9sb2NhbGhvc3Q6ODAwMFwvYXBpXC9hZG1pbmlzdHJhdGl2ZVwvYXV0aFwvbG9naW4iLCJpYXQiOjE1ODc0OTIxNDQsImV4cCI6MTU4NzQ5NTc0NCwibmJmIjoxNTg3NDkyMTQ0LCJqdGkiOiJUS1hRY3JRcmVxaUZqb0R0Iiwic3ViIjoxLCJwcnYiOiIyM2JkNWM4OTQ5ZjYwMGFkYjM5ZTcwMWM0MDA4NzJkYjdhNTk3NmY3In0.UeTE5E4eYZOO9S5wNWCU3I3nA1CZYfc6sxchn6_8s9k",
        "token_type": "bearer",
        "expires_in": 604800
    }
}


Há várias formas de se fazer isto, enviar o id no corpo do token, fora, pegar por id, sessão e comparar o que está no token, a lógica é esta e usar SSL.

PS. eu tenho aplicação php, que se comunica com Endpoints em Node, com a mesma secret.

 

Não há uma receita de bolo!

Obs.: Na duvida e use um Framework tipo o Lumen, e instala o pacote de JWT e já estara pronto para usar.
Mas ele vai pela mesma logica acima. Fiz uma com node.js ea mesma filosofia. Voce tem que saber a base de como tudo funciona.
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

  • Conteúdo Similar

    • Por ILR master
      Fala galera, tudo bem?
       
      Tenho o seguinte codigo:
       
       class Data {
      public static function ExibirTempoDecorrido($date)
      {
          if(empty($date))
          {
              return "Informe a data";
          }
          $periodos = array("segundo", "minuto", "hora", "dia", "semana", "mês", "ano", "década");
          $duracao = array("60","60","24","7","4.35","12","10");
          $agora = time();
          $unix_data = strtotime($date);
          // check validity of date
          if(empty($unix_data))
          {  
              return "Bad date";
          }
          // is it future date or past date
          if($agora > $unix_data) 
          {  
              $diferenca     = $agora - $unix_data;
              $tempo         = "atrás";
          } 
          else 
          {
              $diferenca     = $unix_data - $agora;
              $tempo         = "agora";
          }
          for($j = 0; $diferenca >= $duracao[$j] && $j < count($duracao)-1; $j++) 
          {
              $diferenca /= $duracao[$j];
          }
          $diferenca = round($diferenca);
          if($diferenca != 1) 
          {
              $periodos[$j].= "s";
          }
          return "$diferenca $periodos[$j] {$tempo}";
      }
      }
       
      Funciona redondinho se o valor retornado for de algumas horas, mas...
      Quando passa de dois meses, ele retorna a palavra mess. Deve ser por conta dessa linha
      if($diferenca != 1) 
          {
              $periodos[$j].= "s";
          }
       
      Quero que modre:
       
      2 meses atrás
      e não
      2 mess atrás.
       
      Espero que tenham entendido.
       
      Valeu
    • Por Carlos Web Soluções Web
      Olá...
      Estou tentando fazer o seguinte !!
      Listando dados em tabela !!
      Gostaria que....se na listagem houver 4 linhas...indepedente de seu número de ID, faça a listagem em ID ser em ordem 1 2 3 4 !!
      Exemplo...se tiver uma listagem de dados que está em ID 1 3 3...faça ficar 1 2 3 !!

       
      echo "<table class='tabela_dados' border='1'> <tr> <td>ID</td> <td>Nome Empresa</td> <td>Responsável</td> <td>Telefone 1</td> <td>Telefone 2</td> <td>E-mail 1</td> <td>E-mail 2</td> <td>Endereço</td> <td>CEP</td> <td>Bairro</td> <td>AÇÃO 1</td> <td>AÇÃO 2</td> </tr> "; $sql = "SELECT ID FROM usuarios_dados WHERE Usuario='$usuario'"; $result = $conn->query($sql); $num_rows = $result->num_rows; $Novo_ID = 1; for ($i = 0; $i < $num_rows; $i++) { $registro = $result -> fetch_row(); $sql2 = "UPDATE usuarios_dados SET ID='$Novo_ID' WHERE ID='$Novo_ID'"; $result2 = $conn->query($sql2); $Novo_ID++; } $sql = "SELECT * FROM usuarios_dados"; $result = $conn->query($sql); if ($result->num_rows > 0) { // output data of each row while($row = $result->fetch_assoc()) { echo "<tr> <td>$row[ID]</td> <td>$row[Nome_Empresa]</td> <td>$row[Responsavel]</td> <td>$row[Telefone_1]</td> <td>$row[Telefone_2]</td> <td>$row[Email_1]</td> <td>$row[Email_2]</td> <td>$row[Endereço]</td> <td>$row[CEP]</td> <td>$row[Bairro]</td> <td> <form method='post' action='Editar_Dados.php'> <input type='hidden' name='usuario' value='$usuario'> <input type='hidden' name='senha' value='$senha'> <input type='hidden' name='ID' value='$row[ID]'> <input type='submit' style='padding: 10px;' value='EDITAR'> </form> </td> <td> <form method='post' action='Deletar_Dados.php'> <input type='hidden' name='usuario' value='$usuario'> <input type='hidden' name='senha' value='$senha'> <input type='hidden' name='ID' value='$row[ID]'> <input type='submit' style='padding: 10px;' value='DELETAR'> </form> </td> </tr> "; } } else { echo "0 results"; } $conn->close();  
    • Por ILR master
      Boa tarde pessoal, tudo bem ?
       
      Eu uso o tinymce para cadastro de textos no meu siite, porém, quero fazer um sistema para que os colunistas possam fazer o próprio post.
      O problema do tinymce, é que ele mantém a formatação do texto copiado, como tamanho de fonts, negritos, etc... Quero que o usuário cole o texto e a própria textarea limpe a formatação para que ele formate como quiser.
       
      A pergunta é:
       
      O tinymce tem uma opção para desabilitar a formatação quando um texto é colocado?
      Tem alguma função via java ou php para retirar a formatação assim que o texto é colado?
      Ou é melhor usar um outro editor?
       
      Agradeço deste já.
    • Por Giovanird
      Olá a todos!
      Tenho uma pagina que possui uma DIV onde coloquei uma pagina PHP.
      Uso a função setInterval para atualizar a pagina inclusa dentro da DIV.
      O problema é que ao acessar o site , a DIV só me mostra a pagina inclusa somente quando completo o primeiro minuto.
      Preciso que a pagina inclusa já inicie carregada
       
      Meu código JavaScript e a DIV com a pagina PHP
       
      <script> function atualiza(){ var url = 'direita.php'; $.get(url, function(dataReturn) { $('#direita').html(dataReturn); }); } setInterval("atualiza()",60000); </script> <div> <span id="direita"></span> </div>  
    • Por ILR master
      Fala pessoal.
       
      Seguinte:
       
      Quero selecionar duas tabelas e mostrar com resultados intercalados. Abaixo segue um código explicando para vcs terem uma ideia.
       
      $consulta = "SELECT A.*, B.* FROM tabela1 A, tabela2 B'";
      $resultado = mysqli_query($conexao, $consulta) or die ("erro");
      while($busca = mysqli_fetch_array($resultado)){
       
      print $busca['cod_evento']; --> traz o código da tabela1 
      print $busca['titulo_evento']; -->  traz o titulo da tabela1
      print $busca['cod_noticia']; --> traz o código da tabela2
      print $busca['titulo_noticia']; --> traz o tituloda tabela2
       
      }
       
      Espero que entendam. Grato
       
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.