JWT (JSON Web Tokens) é um padrão aberto (RFC 7519) para a criação de tokens de acesso em aplicações web. Eles são usados para transmitir informações seguras entre partes confiáveis e são muito usados para autenticação e autorização em APIs RESTful.
Por que usar JWT?
A maior vantagem no uso de tokens JWT é que o armazenamento dos dados do token é feito no cliente, ao contrário dos cookies de sessão que ficam no servidor.
Ou seja, não é preciso guardar os dados do token no servidor, o que por sua vez diminui a complexidade do seu código no backend.
Além disso, em cenários que tem muitos microsserviços, é possível usar um único token para acessar vários serviços diferentes, o que facilita muito a parte de autenticação.
Vale lembrar que o padrão JWT é um dos tipos de token de autenticação mais usados no mercado.
Então saber ao menos o básico sobre é muito importante caso você queira se tornar um desenvolvedor web.
Como usar o JWT
Em resumo o processo de uso do JWT envolve três partes: a criação do token, a verificação da integridade do token e a extração de informações do token.
A criação do token envolve a geração de um token assinado, que contém informações do usuário e quais são as permissões concedidas.
A verificação da integridade do token por outro lado envolve a validação da assinatura do token usando a chave secreta usada para gerar o token.
Por último a extração de informações do token envolve a decodificação do token e a extração das informações que estão nele.
É nesse último passo que temos as informações de quem emitiu o token, em que momento e até quando ele é válido.
Vale lembrar que o token pode ter informações adicionais que vão além do tempo de vida e emissor.
É possível inserir qualquer tipo de informação que seja útil no momento da autenticação ou autorização, como as permissões de acesso por exemplo.
Para as duas últimas etapas há um site muito útil, que permite tanto validar o token, quanto extrair as informações dentro do token.
Vale lembrar que quase todas as linguagens modernas tem bibliotecas que já conseguem lidar de maneira simples com JWT.
Então antes de começar a programar faça uma breve pesquisa e veja se há alguma biblioteca que facilite o seu trabalho.
Vulnerabilidades
Por mais que o JWT seja um padrão seguro, ele não é à prova de falhas.
As principais vulnerabilidades vão desde ataques de força bruta à chave secreta, ataques de injeção de token e até ataques de falsificação de tokens.
É muito importante que se tome medidas de segurança para mitigar essas vulnerabilidades.
As principais formas de mitigar são: com o uso de algoritmos de criptografia seguros e a implementação adequada de controle de acesso e autenticação.
Conclusão
Em suma o uso do JWT com certeza é um jeito eficiente e seguro de autenticar e autorizar usuários em aplicações web. No entanto, é importante ter em mente que há vulnerabilidades associadas a este padrão e que é preciso que se tomem medidas de segurança para mitigá-las.
Por fim se você quer se aprofundar em JWT e desenvolvimento web seguro, não perca a oportunidade de se inscrever no nosso curso Full Stack e aprender passo a passo como usar JWT e outras técnicas de segurança em aplicações web.
Agora se você quer mais dicas sobre desenvolvimento confira os outros posts no blog.
