VAGAS DE EMPREGO

balta.io balta.io
  • Cursos
  • Carreiras
  • Para sua Empresa
  • Livros
    • Background Services
    • Blazor com .NET 8
    • Segurança em APIs
    • Futuro do C# 12
    • Nullable Types
    • Clean Code
  • Blog

Seja Premium
balta.io

  • Cursos
  • Carreiras
  • Para sua Empresa
  • Agenda
  • Livros
    • Background Services
    • Blazor com .NET 8
    • Segurança em APIs
    • Futuro do C# 12
    • Nullable Types
    • Clean Code
  • Blog
  • Player
Seja Premium

Entre ou Cadastre-se

  • Home
  • Artigos
  • O que é JWT?


👉 Temos uma versão mais atualizada deste artigo no nosso novo Blog

O que é JWT?

Neste artigo vamos falar um pouco sobre JWT, um dos padrões de Token mais utilizados no mundo.

O que é JWT?

Então você está me dizendo que eu vou armazenar um Token em um local onde o usuário (Ou outra pessoa) pode ir lá e visualizar?

Isto mesmo, os Tokens são como chaves de acesso, com informações e uma duração, ou seja, se alguém obter seu Token, ele pode “impersonar” ou fingir que é você.

Por isto a segurança física é a primeira e mais importante etapa que temos. Se alguém tem acesso ao seu Browser, fisicamente (ou remotamente) ele pode ver seu Token.

Na verdade, este seria o menor dos seus problemas, já que os dados de navegação são armazenados localmente, ou seja, todas as suas sessões estão em um arquivo.

Basta copiar este arquivo da sua máquina para a minha e pronto, estarei logado com todas as suas sessões.

Por este motivo frequentemente somos recomendados a não clicar em links suspeitos, visto que uma simples cópia expõe todas as suas informações.

Mas voltando aos Tokens, embora você possa armazenar uma chave/valor no Local Storage, é legal encriptar estas informações, correto?

Desta forma, se alguém roubar seu Token, não verá nada além de uma Hash como esta abaixo:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Como este processo é algo comum entre as aplicações e APIs, criou-se um padrão chamado JWT (Pronuncia-se JÓT), que é a sigla para Json Web Token.

Ao desencriptar este Token, temos como resultado os seguintes JSON:

{
  "alg": "HS256",
  "typ": "JWT"
}

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Se você notar, o Token contém “.” para segmentar suas regiões e o mesmo é dividido em três partes principais.

Screenshot 2023-05-16 at 12.41.01.png

A primeira parte, em vermelho, é chamada de Header ou cabeçalho, que define o algoritmo utilizado na encriptação e o tipo do Token, no nosso caso, JWT.

Quando desencriptamos ela, temos o seguinte JSON como resultado:

{
  "alg": "HS256",
  "typ": "JWT"
}

Podemos mudar estes valores, incluindo o algoritmo e assim teremos valores diferentes. No caso, mudando de HS256 para HS384, temos a seguinte Hash e Header.

// eyJhbGciOiJIUzM4NCIsInR5cCI6IkpXVCJ9
{
  "alg": "HS384",
  "typ": "JWT"
}

O mais comum e recomendado até o momento da escrita deste artigo é o HS256, ele balanceia performance e segurança. Quanto mais alta a encriptação, mais processamento ela requer.

O segundo item, em rosa é o Payload ou carga, que são informações que podemos incluir no Token com algumas ressalvas.

// eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "iat": 1516239022
}

Assim como nos Headers o Payload também varia de acordo com a quantidade de informações que colocamos nele. Ao incluirmos a informação “premium” temos um outro valor sendo gerado.

// eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsInByZW1pdW0iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "premium": true,
  "iat": 1516239022
}

Por fim temos a parte em azul, que representa a assinatura do Token, que só existe no lado do servidor.

Em resumo o que temos é uma encriptação SHA256 de três itens convertidos para Base64, um código simples assim:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  'MINHA CHAVE SECRETA'
)

Então quer dizer que, além de salvar o Token eu ainda posso visualizar ele? Sim, tem sites como o jwt.io que te permite visualizar tudo que um Token contém.

Indo além disso, o JWT.io (Você pode fazer isto manualmente também) te permite alterar o código de um Token, adicionando informações extras.

Isto significa que se eu pegar o Token abaixo, gerado para mim que diz que eu só tenho o perfil “student”:

Screenshot 2023-05-16 at 12.53.34.png

{
  "name": "André Baltieri",
  "roles": ["student"],
  "iat": 1516239022
}

E adicionar o perfil “admin”:

{
  "name": "André Baltieri",
  "roles": ["student", "admin"],
  "iat": 1516239022
}

Agora eu tenho um novo Token, com acesso de administrador:

Screenshot 2023-05-16 at 12.56.00.png

Entendendo os Payloads e assinatura

Muita calma nessa hora! É possível sim mudar um Token, mas para isto é necessário uma chave privada, que somente o servidor deve conter.

Se o Token for gerado com qualquer outra chave, diferente da qual foi gerada, o mesmo é invalidado. Isto é o que torna os Tokens seguros em relações as mudanças.

Então não importa se o Token foi alterado no cliente ou mesmo no meio do caminho, se ele não for re-gerado com a chave privada (Que só o servidor deve conhecer) ele será inválido.

MAN IN THE MIDDLE - Existe um ataque comum chamado “Homem no meio” que basicamente intercepta a comunicação entre o cliente e o servidor e rouba informações ou modifica elas.

Não armazene valores sensíveis no Payload

Outro ponto importantíssimo é sobre o uso do Payload. Embora você possa adicionar qualquer informação que desejar nele, não é recomendado trafegar informações sensíveis ali.

Cartão de crédito, telefone, endereço ou qualquer informação que comprometa os dados do seu usuário, devem ser mantidos apenas no servidor.

Em suma, tendo o E-mail ou ID do usuário no Payload já basta. Com estas informações você pode consultar o que quiser sobre ele.

Tempo de vida do JWT

Uma recomendação e padrão dos JWTs é conter no Payload a informação “iat” que signifca “Issued At” ou “Gerado em”, que nada mais é do que um timestamp da data/hora que o Token foi gerado.

Desta forma, podemos criar uma validação para o Token, dizendo que o mesmo só pode existir por X tempo. Assim, se um Token for roubado, ele só vai ser útil durante X dias ou horas, passado isto ele se torna inválido.

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022 👈
}

Dependendo do sistema este tempo de expiração pode variar, mas em geral, ele não deve ser tão curto a ponto de incomodar o usuário, que precisará se autenticar o tempo todo, nem tão longo que alguém possa roubar e usar por meses.

Conclusão

Neste artigo pudemos entender o que são e como funcionam os JWT, como os Tokens são criados e quais informações eles contém.

Populares

Priority Queue

Priority Queue ou fila prioritária é um tipo de lista inclusa no C# 10 que permite que seus itens...


Implicit Operators no C#

Implicit Operators permitem adicionar comportamentos de conversão a objetos Built In ou complexos...


ASP.NET 5 – Autenticação e Autorização com Bearer e JWT

Este artigo atualmente utiliza a versão 5.0.0-rc.1 do ASP.NET/.NET, o que significa que ainda não...


Clean Code - Guia e Exemplos

Saiba como manter seu código limpo (Clean Code) seguindo algumas práticas sugeridas pelo Robert C...


Git e GitHub - Instalação, Configuração e Primeiros Passos

Git é um sistema de controle de versões distribuídas, enquanto GitHub é uma plataforma que tem o ...


Compartilhe este artigo



Conheça o autor

André Baltieri

André Baltieri

Microsoft MVP

Me dedico ao desenvolvimento de software desde 2003, sendo minha maior especialidade o Desenvolvimento Web. Durante esta jornada pude trabalhar presencialmente aqui no Brasil e Estados Unidos, atender remotamente times da ?ndia, Inglaterra e Holanda, receber 8x Microsoft MVP e realizar diversas consultorias em empresas e projetos de todos os tamanhos.





3.133

Aulas disponíveis

292

horas de conteúdo

76.461

Alunos matriculados

53.012

Certificados emitidos





Comece de graça agora mesmo!

Temos mais de 21 cursos totalmente de graça e todos com certificado de conclusão.

Começar


Prefere algo mais Premium?

Conheça nossos planos



Premium anual

Compra única, parcelada em até
12x no cartão de crédito


12x R$

99

,79

=R$ 1.197,44
  • 1 ano de acesso
  • Acesso à todo conteúdo
  • Emissão de Certificado
  • Tira Dúvidas Online
  • 67 cursos disponíveis
  • 10 carreiras disponíveis
  • 161 temas de tecnologia
  • Conteúdo novo todo mês
  • Encontros Premium

Começar agora

Política de privacidade



Precisa de ajuda?

Dúvidas frequentes



  • Posso começar de graça?

    Sim! Basta criar sua conta gratuita no balta.io e começar seus estudos. Nós contamos com diversos cursos TOTALMENTE gratuitos e com certificado de conclusão.

  • Vou ter que pagar algo?

    Nós temos cursos gratuitos e pagos, porém você não precisa informar nenhum dado de pagamento para começar seus estudos gratuitamente conosco. Os cursos gratuitos são completos e com certificado de conclusão, você não paga nada por eles.

    Porém, caso queira algo mais Premium , você terá acesso à diversos benefícios que vão te ajudar ainda mais em sua carreira.

  • Por onde devo começar?

    Siga SEMPRE as nossas Carreiras , elas vão te orientar em todos os sentidos. Os cursos já estão organizados em categorias e carreiras para facilitar seu aprendizado.
    Nossa sugestão para aprendizado é começar pelo Backend e seguindo para Frontend e Mobile.

    • Backend
    • Frontend
    • Mobile

  • Os cursos ensinam tudo que preciso?

    Nenhum curso no mundo vai te ensinar tudo, desculpa ser sincero! Os cursos são uma base, eles fornecem por volta de 30% do que você precisa aprender, o resto é com você, com dedicação e MUITA prática.

  • O que eu devo estudar?

    Java ou .NET? Angular ou React? Xamarin ou Flutter? A resposta é simples e direta: "Você já sabe o básico?"

    Se você ainda não sabe BEM o básico, ou seja, os fundamentos, OOP, SOLID, Clean Code, está perdendo tempo estudando Frameworks ou até coisas mais avançadas como Docker. Foque nos seus objetivos primeiro.
    Agora se você está indeciso sobre qual Framework estudar, a boa notícia é que o mercado neste momento está bem aquecido e você tem várias oportunidade. Desta forma o que levaríamos em conta para tomar esta decisão seria:

    • Já sei o básico
    • O Framework/Tecnologia tem mercado onde eu estou (região)
    • O Framework/Tecnologia é utilizado em uma empresa onde quero atual
    • O Framework/Tecnologia resolve meu problema
    • Eu gosto de utilizar o Framework/Tecnologia

  • Estou pronto para estudar no balta.io?

    Com certeza! O primeiro passo é começar e você pode fazer isto agora mesmo!

    Começar de graça

Ainda tem dúvidas?





Assine nosso Newsletter

Receba em primeira mão todas as nossas novidades.

Cadastrar


balta.io

Sobre

  • Como funciona?
  • Seja Premium
  • Agenda
  • Blog
  • Todos os cursos

Cursos

  • Frontend
  • Backend
  • Mobile
  • Fullstack

Suporte

  • Termos de uso
  • Privacidade
  • Cancelamento
  • Central de ajuda

Redes Sociais

  • Telegram
  • Facebook
  • Instagram
  • YouTube
  • Twitch
  • LinkedIn
  • Discord