O documento discute JSON Web Token (JWT) para autenticação e autorização em APIs. Explica como JWTs funcionam ao armazenar informações criptografadas que podem ser verificadas e validadas pelo servidor para confirmar a identidade do cliente. Também mostra como implementar autenticação com JWTs usando bibliotecas como jsonwebtoken e dotenv-safe no Node.js, incluindo a emissão e verificação de tokens.

1. Node.js e
MongoDB
http://www.luiztools.com.br

2. JSON Web Token
Autenticação
Autorização
CRONOGRAMA

3. JSON Web
Token

4. JSON Web Token
Introdução
JWT, resumidamente, é uma string de caracteres
codificados que, caso cliente e servidor estejam sob
HTTPS, permite que somente o servidor que conhece
o 'segredo' possa ler o conteúdo do token e assim
confirmar a autenticidade do cliente.

5. JSOn Web Token

6. Autenticação

7. Autenticação
npm install jsonwebtoken dotenv-safe
Estrutura

8. Autenticação
# .env.example, commit to repo
SECRET=
#.env, don't commit to repo
SECRET=mysecret
dotenv-safe

9. Autenticação
require("dotenv-safe").load();
var jwt = require('jsonwebtoken');
api-gateway

10. Autenticação
app.post('/login', (req, res, next) => {
if(req.body.user === 'luiz' && req.body.pwd === '123'){
//auth ok
const id = 1; //esse id viria do banco de dados
var token = jwt.sign({ id }, process.env.SECRET, {
expiresIn: 300 // expires in 5min
});
res.status(200).send({ auth: true, token: token });
}
res.status(500).send('Login inválido!');
})
api-gateway

11. Autenticação
app.get('/logout', function(req, res) {
res.status(200).send({ auth: false, token: null });
});
api-gateway

12. Autorização

13. Autorização
function verifyJWT(req, res, next){
var token = req.headers['x-access-token'];
if (!token)
return res.status(401).send({ auth: false, message:
'No token provided.' });
jwt.verify(token, process.env.SECRET, function(err, decoded) {
if (err) return res.status(500).send({ auth: false,
message: 'Failed to authenticate token.' });
req.userId = decoded.id;
next();
});
}
api-gateway

14. Autorização
// Proxy request
app.get('/users', verifyJWT, (req, res, next) => {
userServiceProxy(req, res, next);
})
app.get('/products', verifyJWT, (req, res, next) => {
productsServiceProxy(req, res, next);
})
api-gateway

15. Autorização

16. Autorização

17. Autorização

18. Autorização

19. Dúvidas?

20. Exercícios

21. 1 Crie um login que funcione de verdade
2 Crie perfis de autorização para maior segurança
3 Controle número de requisições na API GW

22. Obrigado!