Blog Voicefy
Voltar ao site

Decifrando o JWT (JSON Web Token): Um Guia Completo de Autenticação e Segurança

Por Mizael Xavier
Decifrando o JWT (JSON Web Token): Um Guia Completo de Autenticação e Segurança

O que é JWT (JSON Web Token)?

O JSON Web Token, ou JWT, é um padrão aberto (RFC 7519) que estabelece um método compacto e autocontido para transmitir informações de forma segura entre partes como um objeto JSON. Essas informações podem ser verificadas e consideradas confiáveis porque são assinadas digitalmente. Os JWTs podem ser assinados usando um segredo (com o algoritmo HMAC) ou um par de chaves pública/privada usando RSA ou ECDSA. Sua popularidade reside na capacidade de permitir autenticação e troca de informações seguras em aplicações web e APIs.

A principal função do JWT é servir como um token de autenticação. Uma vez que um usuário realiza o login com sucesso, um JWT é gerado pelo servidor e enviado ao cliente. O cliente, então, armazena esse token e o inclui em cada requisição subsequente para acessar rotas, serviços e recursos protegidos que são permitidos por aquele token. Esse mecanismo é amplamente utilizado em cenários de Single Sign-On (SSO), onde o usuário se autentica uma vez e obtém acesso a múltiplos serviços.

Estrutura de um JWT

Um JWT é composto por três partes separadas por pontos (`.`): Cabeçalho (Header), Carga Útil (Payload) e Assinatura (Signature). A estrutura se assemelha a `xxxxx.yyyyy.zzzzz`.

Cabeçalho (Header) do JWT

O cabeçalho geralmente consiste em duas partes: o tipo do token, que é `JWT`, e o algoritmo de hashing utilizado para gerar a assinatura, como `HMAC SHA256` ou `RSA`. Por exemplo:

`{ "alg": "HS256", "typ": "JWT" }`

Este JSON é então codificado em Base64Url para formar a primeira parte do JWT.

Carga Útil (Payload) do JWT

A segunda parte do token é a carga útil, que contém as declarações (claims). Claims são afirmações sobre uma entidade (geralmente o usuário) e dados adicionais. Existem três tipos de claims:

  • Claims Registradas: São um conjunto de claims predefinidas que não são obrigatórias, mas recomendadas, para fornecer um conjunto de informações úteis e interoperáveis. Alguns exemplos incluem: `iss` (emissor), `exp` (tempo de expiração), `sub` (assunto, geralmente o ID do usuário) e `aud` (audiência).
  • Claims Públicas: Podem ser definidas à vontade por aqueles que utilizam JWTs. No entanto, para evitar colisões, elas devem ser definidas no Registro de JSON Web Token da IANA ou ser nomeadas usando um URI que contenha um namespace resistente a colisões.
  • Claims Privadas: São as claims personalizadas criadas para compartilhar informações entre partes que concordam em usá-las e não são nem claims registradas nem públicas.

É importante notar que, por padrão, o payload é codificado em Base64Url, mas não criptografado, portanto, informações sensíveis não devem ser armazenadas no payload sem criptografia adicional (como JWE - JSON Web Encryption). O payload também é codificado em Base64Url para formar a segunda parte do JWT.

Assinatura (Signature) do JWT

Para criar a parte da assinatura, você pega o cabeçalho codificado, o payload codificado, um segredo (no caso de HMAC) ou a chave privada (no caso de RSA/ECDSA), e o algoritmo especificado no cabeçalho, e os assina. Por exemplo, se você estiver usando HMAC SHA256, a assinatura será criada da seguinte forma:

`HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)`

A assinatura é usada para verificar a integridade do token, ou seja, se a mensagem não foi alterada no caminho e, no caso de tokens assinados com chave privada, também verifica se o remetente do JWT é quem ele diz ser.

Como Funciona a Autenticação com JWT?

O fluxo de autenticação baseado em JWT geralmente segue estas etapas:

  1. O usuário insere suas credenciais (por exemplo, nome de usuário e senha) em uma aplicação cliente.
  2. A aplicação cliente envia essas credenciais para o servidor de autenticação.
  3. O servidor de autenticação valida as credenciais.
  4. Se as credenciais forem válidas, o servidor gera um JWT assinado e o envia de volta para a aplicação cliente. O payload do JWT geralmente contém o ID do usuário e outras informações relevantes, como tempo de expiração.
  5. A aplicação cliente armazena o JWT de forma segura (discutiremos as opções de armazenamento mais adiante).
  6. Para cada requisição subsequente a recursos protegidos da API, a aplicação cliente envia o JWT no cabeçalho de autorização HTTP, usando o esquema Bearer.
  7. O servidor da API recebe a requisição, extrai o JWT e verifica sua assinatura usando a chave secreta ou pública correspondente. Também pode verificar outras claims, como o tempo de expiração.
  8. Se o token for válido e não estiver expirado, o servidor processa a requisição e permite o acesso ao recurso solicitado. Caso contrário, a requisição é rejeitada.

Vantagens e Desvantagens do JWT

Vantagens do JWT

  • Compacto: Devido ao seu tamanho reduzido, os JWTs podem ser enviados através de URLs, parâmetros POST ou dentro de cabeçalhos HTTP, resultando em transmissão rápida.
  • Autocontido (Stateless): O payload contém todas as informações necessárias sobre o usuário, evitando a necessidade de consultar o banco de dados repetidamente para verificar a identidade do usuário a cada requisição. Isso torna os JWTs ideais para arquiteturas distribuídas e microserviços, pois o servidor não precisa manter o estado da sessão.
  • Seguro: Quando assinados digitalmente, os JWTs garantem a integridade dos dados e, com algoritmos assimétricos, a autenticidade do remetente.
  • Interoperabilidade: Sendo um padrão aberto baseado em JSON, os JWTs são facilmente utilizáveis entre diferentes domínios, plataformas e linguagens de programação.
  • Desempenho: A validação do token pode ser rápida, pois não exige consulta ao banco de dados se todas as informações necessárias estiverem no payload.
  • Controle de Acesso Detalhado: É possível especificar papéis e permissões do usuário dentro do payload do token.

Desvantagens do JWT

  • Tamanho do Token: Embora compacto, se muitas informações forem incluídas no payload, o token pode se tornar grande, aumentando a quantidade de dados transmitidos.
  • Revogação: Uma vez que um JWT é emitido, ele é válido até sua expiração. Revogar um token antes do tempo de expiração pode ser complexo. Estratégias como listas de revogação (blacklists) ou tokens de curta duração com mecanismos de atualização (refresh tokens) podem ser usadas para mitigar esse problema.
  • Informações no Payload: Como o payload é apenas codificado e não criptografado por padrão, informações sensíveis não devem ser armazenadas nele sem uma camada adicional de criptografia (JWE).
  • Dependência do Relógio do Cliente: A verificação do tempo de expiração do token pode ser afetada por problemas de sincronização de relógio entre cliente e servidor.

Segurança com JWT: Melhores Práticas

Implementar JWTs de forma segura é crucial para proteger aplicações e dados. Algumas melhores práticas incluem:

Escolha de Algoritmos de Assinatura JWT

Utilize algoritmos de assinatura fortes como `HMAC SHA256` (HS256) ou, preferencialmente para maior segurança em sistemas distribuídos, algoritmos de chave assimétrica como `RSA SHA256` (RS256) ou `ECDSA SHA256` (ES256). Evite o algoritmo "none", que desabilita a assinatura e deve ser rigorosamente rejeitado pelo servidor.

Gerenciamento de Chaves Secretas e Chaves Privadas/Públicas

Mantenha as chaves secretas (para HMAC) e as chaves privadas (para RSA/ECDSA) seguras e protegidas no lado do servidor. Nunca exponha essas chaves no lado do cliente. Para algoritmos assimétricos, a chave pública pode ser compartilhada com os serviços que precisam validar os tokens.

Proteção contra Ataques Comuns

  • Cross-Site Scripting (XSS): Se um JWT for armazenado no `localStorage` ou `sessionStorage`, ele pode ser acessado por scripts maliciosos injetados na página.
  • Cross-Site Request Forgery (CSRF): Embora os JWTs em si não previnam CSRF, o local de armazenamento e a forma como são enviados podem influenciar a vulnerabilidade. Cookies com o atributo `SameSite` podem ajudar a mitigar CSRF.
  • Ataques de Força Bruta e Dicionário: Chaves secretas fracas podem ser adivinhadas. Utilize chaves fortes e complexas.
  • Manipulação do Token: Sempre valide a assinatura do token no servidor para garantir que o cabeçalho e o payload não foram adulterados.

Armazenamento Seguro de JWT no Cliente

A forma como os JWTs são armazenados no cliente tem implicações significativas na segurança:

  • `localStorage` ou `sessionStorage`: São acessíveis via JavaScript, tornando os tokens vulneráveis a ataques XSS. Embora conveniente, geralmente não é a opção mais segura.
  • Cookies HttpOnly e Secure: Armazenar o JWT em um cookie com as flags `HttpOnly` (impede o acesso via JavaScript) e `Secure` (envia o cookie apenas por HTTPS) é uma prática mais segura contra XSS. No entanto, é preciso estar atento à proteção contra CSRF, utilizando, por exemplo, o atributo `SameSite`.
  • Armazenamento em Memória (Variável JavaScript): O token fica na memória da aplicação. É seguro contra XSS, mas o token é perdido se a página for recarregada ou a aba fechada, exigindo nova autenticação ou o uso de refresh tokens.

Outras Recomendações de Segurança para JWT

  • Use HTTPS: Sempre transmita JWTs sobre conexões HTTPS para protegê-los contra interceptação (ataques Man-in-the-Middle).
  • Defina Tempos de Expiração Curtos (Claim `exp`): Tokens com vida útil curta minimizam o impacto caso um token seja comprometido. Utilize refresh tokens para permitir que os usuários mantenham suas sessões ativas sem reinserir credenciais frequentemente.
  • Valide Todas as Claims Relevantes: Além da assinatura e expiração, valide outras claims importantes como `iss` (emissor) e `aud` (audiência) para garantir que o token é destinado ao seu serviço e foi emitido por uma fonte confiável.
  • Não Armazene Informações Sensíveis no Payload: Lembre-se que o payload é apenas codificado e legível por qualquer pessoa que tenha acesso ao token. Para dados sensíveis, use JWE ou recupere os dados do servidor após a validação do token.
  • Implemente Mecanismos de Revogação de Token: Para invalidar tokens antes da expiração (por exemplo, ao fazer logout ou em caso de comprometimento de conta), considere soluções como listas de IDs de tokens revogados (blacklists) ou o uso de refresh tokens que podem ser revogados.
  • Sanitize Entradas: Sempre sanitize quaisquer dados provenientes de tokens que possam ser manipulados pelo usuário antes de usá-los em consultas ou outras operações.

Quando Usar JWT?

Os JWTs são particularmente úteis nos seguintes cenários:

  • Autenticação: É o caso de uso mais comum. Permite que os usuários acessem recursos protegidos após o login.
  • Autorização: O JWT pode conter informações sobre as permissões do usuário, permitindo que o servidor determine quais recursos o usuário pode acessar.
  • Troca de Informações Segura: Como os JWTs podem ser assinados, eles são uma boa maneira de transmitir informações com segurança entre partes, garantindo a integridade e a autenticidade dos dados.
  • Aplicações Mobile: Frequentemente usam JWTs para autenticação, pois os tokens podem ser armazenados de forma segura no dispositivo.
  • Arquiteturas de Microserviços: A natureza stateless dos JWTs os torna ideais para autenticação e autorização em arquiteturas de microserviços, onde os serviços precisam ser desacoplados e escaláveis.
  • Single Sign-On (SSO): Facilita a autenticação em múltiplos sistemas com um único login.

Em resumo, o JSON Web Token é uma ferramenta poderosa e flexível para autenticação e troca segura de informações no desenvolvimento web moderno. Compreender sua estrutura, fluxo de funcionamento, vantagens, desvantagens e, crucialmente, as melhores práticas de segurança é essencial para construir aplicações robustas e confiáveis.

Mizael Xavier

Mizael Xavier

Desenvolvedor e escritor técnico

Ver todos os posts

Compartilhar:

Posts relacionados