O documento discute aplicações stateless com PHP e JWT. Ele explica o que é stateless, as vantagens dessa arquitetura, como funciona o JWT e como utilizá-lo para autenticação e outros casos de uso. O documento também aborda questões de segurança relacionadas ao JWT.

1. Aplicações stateless
com PHP e JWT
Bruno Neves
@brunodasneves
brunonm@gmail.comXVI PHP FC

2. stateless?

4. stateless
todo request é como se fosse a
primeira vez

5. stateless
a aplicação não mantém informações
sobre a sessão ativa

6. stateless
o request contém todas as
informações necessárias para ser
compreendido e processado

7. stateless
quem mantém o estado é o cliente

8. vantagens

9. vantagens
escalabilidade horizontal

11. vantagens
menor utilização de recursos
computacionais

12. vantagens
arquitetura com design simplificado

13. vantagens
microservices friendly

14. como?

16. JSON Web Token

17. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
.
eyJpc3MiOiJodHRwOlwvXC9waHAtand0IiwiYXVkIjoiaHR0cDp
cL1wvd3d3LnBocGRmLm9yZy5iclwvIiwianRpIjoiZWRjOWIwMW
YtNjE4YS00YTMyLTkyZGYtZGRlMWM0YmRlMDA0IiwiaWF0IjoxN
DkxOTY3MzU4LCJuYmYiOjE0OTE5Njc0MTgsImV4cCI6MTQ5MTk3
MDk1OCwibmFtZSI6IkJydW5vIE5ldmVzIiwiZW1haWwiOiJicnV
ub25tQGdtYWlsLmNvbSJ9
.
O_jGNRVc7STUknGBavZi-dFqYLDkrt9LAB3zOCYRR_8

18. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
.
eyJpc3MiOiJodHRwOlwvXC9waHAtand0IiwiYXVkIjoiaHR0cDp
cL1wvd3d3LnBocGRmLm9yZy5iclwvIiwianRpIjoiZWRjOWIwMW
YtNjE4YS00YTMyLTkyZGYtZGRlMWM0YmRlMDA0IiwiaWF0IjoxN
DkxOTY3MzU4LCJuYmYiOjE0OTE5Njc0MTgsImV4cCI6MTQ5MTk3
MDk1OCwibmFtZSI6IkJydW5vIE5ldmVzIiwiZW1haWwiOiJicnV
ub25tQGdtYWlsLmNvbSJ9
.
O_jGNRVc7STUknGBavZi-dFqYLDkrt9LAB3zOCYRR_8
header
payload
signature

19. eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
.
eyJpc3MiOiJodHRwOlwvXC9waHAtand0IiwiYXVkIjoiaHR0cDp
cL1wvd3d3LnBocGRmLm9yZy5iclwvIiwianRpIjoiZWRjOWIwMW
YtNjE4YS00YTMyLTkyZGYtZGRlMWM0YmRlMDA0IiwiaWF0IjoxN
DkxOTY3MzU4LCJuYmYiOjE0OTE5Njc0MTgsImV4cCI6MTQ5MTk3
MDk1OCwibmFtZSI6IkJydW5vIE5ldmVzIiwiZW1haWwiOiJicnV
ub25tQGdtYWlsLmNvbSJ9
.
O_jGNRVc7STUknGBavZi-dFqYLDkrt9LAB3zOCYRR_8
header
payload
signature
base64 “url-safe”

20. {
"typ": "JWT",
"alg": "HS256"
}
header

21. payload {
"iss": "http://php-jwt",
"aud": "http://www.phpdf.org.br/",
"jti": "edc9b01f-618a-4a32-92df-dde1c4bde004",
"iat": 1491967358,
"nbf": 1491967418,
"exp": 1491970958,
"name": "Bruno Neves",
"email": "brunonm@gmail.com"
}

22. signature
base64UrlEncode(
hash_hmac(
'sha256',
base64UrlEncode($headerJson) . '.' . base64UrlEncode($payloadJson),
'xviphpfc',
true
)
);

23. signature
base64UrlEncode(
hash_hmac(
'sha256',
base64UrlEncode($headerJson) . '.' . base64UrlEncode($payloadJson),
'xviphpfc',
true
)
);
JSON Web Signature - RFC 7515

24. claims

25. claims
reservados, públicos e privados

26. reservados
iss emissor (issuer)
sub objetivo (subject)
aud consumidor (audience)
exp expira em (expiration time)
nbf válido a partir de (not before)
iat criado em (issued at)
jti jwt id
todos opcionais

27. públicos
são definidos de acordo com a
necessidade

28. públicos
devem possuir uma padronização que
evite a colisão de nomes

29. públicos
devem ser registrados na IANA

30. privados
assim como os públicos, são definidos
de acordo com a necessidade
estabelecida pelo emissor e
consumidor

31. claims, the big picture
inclua as informações necessárias e
respeite os claims reservados, para
garantir a interoperabilidade do token

32. utilização

33. utilização
cabeçalho
GET / HTTP/1.1
Host: localhost
Authentication: Bearer <token>

34. utilização
query string
http://siteseguro.com?bearer=<token>

35. utilização
ou dentro do POST, apesar de ser
incomum

36. por que JWT?

37. por que JWT?
compacto

38. por que JWT?
self-contained

39. por que JWT?
cross-domain

40. por que JWT?
seguro

41. por que JWT?
agnóstico de linguagem

42. cases

43. cases
autenticação

45. cases
esqueci minha senha

46. cases
single sign on

47. cases
proteção CSRF

48. <?php

49. > composer require lcobucci/jwt

50. $token = (new LcobucciJWTBuilder())
->setIssuer('http://php-jwt')
->setAudience('http://www.phpdf.org.br/')
->setId(RamseyUuidUuid::uuid4())
->setIssuedAt(time())
->setNotBefore(time() + 60)
->setExpiration(time() + 3600)
->set('name', 'Bruno Neves')
->set('email', 'brunonm@gmail.com')
->sign(new LcobucciJWTSignerHmacSha256(), 'xviphpfc')
->getToken();
echo $token;

51. $token = (new LcobucciJWTParser())->parse($rawToken);
echo $token->getClaim('name'); // Bruno Neves
$validation = new LcobucciJWTValidationData();
$validation->setIssuer('http://php-jwt');
$validation->setCurrentTime(time() + 3601);
var_dump($token->validate($validation)); // falso, token expirado

52. https://github.com/lexik/LexikJWTAuthenticationBundle

53. https://github.com/tymondesigns/jwt-auth

54. segurança

56. segurança
base64 não é criptografia

57. segurança
não coloque nenhuma informação
sensível no token

58. segurança
a assinatura permite garantir que o
token não foi alterado, porém não
impede a visualização dos claims

59. segurança
utilize um algoritmo de criptografia
recomendado (hmac sha256, rsa256…)
https://tools.ietf.org/html/rfc7519#section-8

60. segurança
sempre que o algoritmo for "none", se
certifique que o token não contém
assinatura antes de processar

61. segurança
verifique a situação da biblioteca no
http://jwt.io

64. FAQ

65. logout
apague o token no cliente

66. invalidação
blacklist de tokens válidos
(não-expirados) pelo "jti"

67. dúvidas?

68. obrigado!

69. referências
https://tools.ietf.org/html/rfc7519
https://jwt.io
https://slideshare.net/lcobucci/jwt-to-authentication-and-beyond
https://slideshare.net/ivanrosolen/autenticao-com-json-web-token-jwt

70. imagens
http://nyandabout.com/wp-content/uploads/2016/02/Como-se-fosse-a-primei
ra-vez.jpg
https://conteudo.imguol.com.br/c/entretenimento/9c/2017/04/06/reproducao
-de-uma-pagina-do-manual-do-escoteiro-mirim-com-o-codigo-secreto-marcia
no-1491480332132_v2_750x421.jpgx
https://cdn.auth0.com/content/jwt/jwt-diagram.png
http://docplayer.com.br/docs-images/24/2864128/images/11-0.png