Реализация аутентификации JWT с использованием Angular

Здравствуйте! В этом блоге мы погружаемся в мир веб-безопасности. Мы обсудим, что такое JWT-аутентификация и как ее реализовать в Angular.

Но сначала давайте обсудим, что такое аутентификация. Когда вы входите на веб-сайт, он должен знать, что это действительно вы (это аутентификация) и что вам разрешено делать (это авторизация). Например, вы бы не хотели, чтобы кто угодно мог получить доступ к вашему онлайн-банкингу или торговым счетам, верно? Вот тут-то и появляется JWT.

Что такое JWT и почему это важно?

JWT означает веб-токены JSON. Думайте об этом как о крошечных информационных пакетах, которые помогают веб-сайту узнать, кто вы и что вам разрешено делать. Эти токены создаются, когда вы входите в систему, а затем отправляются туда и обратно между вашим компьютером и веб-сайтом. Это помогает веб-сайту запомнить ваш сеанс входа в систему.

Одним из больших преимуществ JWT является то, что они автономны. Это означает, что все пользовательские данные, необходимые веб-сайту, упакованы прямо в токен. Кроме того, JWT очень компактны, что помогает работать быстро и эффективно.

Строительные блоки JWT: заголовок, полезная нагрузка, подпись

JWT состоят из трех частей: заголовка, полезной нагрузки и подписи. Вот что делает каждая часть:

1. Заголовок. Эта часть сообщает нам, с каким токеном мы имеем дело (это JWT) и алгоритм, используемый для создания подписи.

2. Полезная нагрузка: здесь хранятся пользовательские данные. Там же вы найдете подробную информацию о том, когда токен был выпущен и когда истечет срок его действия.

3. Подпись. Думайте о подписи как о пломбе безопасности. Он создается путем получения закодированного заголовка, закодированной полезной нагрузки и секретного ключа, а затем их обработки по специальному алгоритму. Полученная подпись помогает подтвердить, что токен не был подделан.

Эти три части работают вместе, чтобы создать JWT, который является жизненно важным инструментом для обеспечения безопасности пользовательских данных и бесперебойного взаимодействия с веб-сайтом.

Как работает процесс аутентификации JWT

Давайте посмотрим, как JWT на самом деле работает на практике, шаг за шагом:

1. Логин: Вы вводите свое имя пользователя и пароль на веб-сайте. Если данные верны, сервер генерирует JWT и отправляет его вам.

2. Хранить и отправлять: ваш браузер затем сохраняет этот токен (часто в месте, называемом локальным хранилищем). Каждый раз, когда вы посещаете новую страницу сайта или запрашиваете защищенный ресурс, ваш браузер автоматически отправляет JWT в заголовках HTTP-запроса.

3. Проверить и разрешить: сервер получает этот запрос, а вместе с ним и JWT. Он проверяет подпись JWT, чтобы убедиться, что она легальна и с ней ничего не испортили. Если все в порядке, сервер предоставляет запрошенные вами ресурсы.

Короче говоря, JWT помогает веб-сайтам запоминать, кто вошел в систему, и поддерживает активность вашего сеанса, когда вы перемещаетесь по сайту.

Реализация JWT в Angular с использованием перехватчиков

Что такое перехватчики?

В Angular перехватчики подобны контрольным точкам, где можно вносить изменения, например, добавлять заголовки к запросу или регистрировать ответы с сервера. В нашем случае мы будем использовать перехватчик, чтобы автоматически добавлять наш JWT к каждому запросу, который в нем нуждается.

Получение инструментов: установка необходимых пакетов

Чтобы начать работать с JWT в Angular, нам нужно установить пару пакетов. Это дополнительные инструменты, которые нужны Angular для работы с JWT. Они называются `@auth0/angular-jwt` и `@angular/common/http`. Мы можем получить их с помощью инструмента под названием npm (диспетчер пакетов узлов), введя в каталоге нашего проекта следующее:

npm install @auth0/angular-jwt @angular/common/http

Создание и хранение JWT

Создание JWT обычно происходит на стороне сервера, когда пользователь входит в систему. После проверки учетных данных пользователя сервер генерирует JWT и отправляет его обратно. На стороне клиента (в нашем приложении Angular) мы получим этот JWT и должны его где-то сохранить, обычно в локальном хранилище. Когда вы получаете ответ от сервера после входа пользователя в систему, вам необходимо сохранить его в локальном хранилище, как показано ниже:

localStorage.setItem(‘access_token’, JSON.stringify(response.access_token));

Эта строка кода сохраняет JWT («response.access_token») в локальном хранилище под именем «access_token».

Создание перехватчика: внедрение JWT в HTTP-запросы

Далее мы создадим перехватчик. Его задача — взять сохраненный нами JWT и добавить его в заголовок любого HTTP-запроса, который в нем нуждается. Вот простой пример:

@Injectable()
export class JwtInterceptor implements HttpInterceptor 
{
  intercept(request: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> 
  {
    let token = localStorage.getItem(‘access_token’);
    if (token) {
      request = request.clone({
        setHeaders: {
          Authorization: `Bearer ${token}`
        }
      });
    }
    return next.handle(request);
  }
 }

Этот перехватчик проверяет, есть ли у нас токен в локальном хранилище. Если мы это сделаем, он добавит этот токен в заголовок «Авторизация» HTTP-запроса.

Регистрация перехватчика HTTP в AppModule

Далее мы зарегистрируем этот перехватчик в модуле приложения, чтобы токен добавлялся во все исходящие HTTP-запросы:

import { HttpClientModule, HTTP_INTERCEPTORS } from '@angular/common/http';
import { MyInterceptor } from './path-to-your-interceptor-file';

@NgModule({
  imports: [HttpClientModule],
  providers: [
    {
      provide: HTTP_INTERCEPTORS,
      useClass: MyInterceptor,
      multi: true
    }
  ]
})
export class AppModule { }

Оставаться в курсе: обработка истечения срока действия токена и его обновление

JWT часто имеют срок действия по соображениям безопасности. Но что происходит, когда срок действия токена истекает? Обычно сервер возвращает статус 401 Unauthorized. Когда мы получим это, мы можем попросить сервер предоставить нам новый JWT (это называется «обновлением» токена).

Обработка этого обновления во многом зависит от того, как настроен ваш сервер. Но ключевой момент — помнить, что срок действия JWT может истечь, и вам понадобится стратегия, позволяющая либо обновить токен, либо предложить пользователю снова войти в систему.

Вопросы безопасности с JWT и Angular

Потенциальные уязвимости

Хотя JWT и Angular могут обеспечить безопасную среду для аутентификации, они не лишены потенциальных проблем с безопасностью.

1. Кража токена: если JWT украден, кто-то другой может использовать его, чтобы выдать себя за пользователя. Это можно сделать с помощью атак с использованием межсайтовых сценариев (XSS), когда вредоносные сценарии внедряются на доверенные веб-сайты.

2. Слабый секретный ключ: JWT зависят от секретного ключа для подписи. Если этот ключ недостаточно надежен или скомпрометирован, он может позволить злоумышленнику создать свои собственные действительные токены.

3. Хранилище токенов: JWT часто хранятся в локальном хранилище, которое уязвимо для XSS-атак. Злоумышленник потенциально может получить токен из локального хранилища и использовать его.

Лучшие практики для безопасного использования JWT

Несмотря на эти потенциальные уязвимости, есть способы безопасного использования JWT:

1. Используйте HTTPS: всегда используйте HTTPS для передачи JWT между клиентом и сервером. Это шифрует связь, что затрудняет кражу токенов злоумышленниками.

2. Надежный секретный ключ. Используйте надежный и уникальный секретный ключ для подписи JWT. Никогда не раскрывайте этот ключ.

3. Срок действия токена. Старайтесь, чтобы срок действия JWT был как можно короче. Это уменьшает окно времени, в течение которого злоумышленник может использовать украденный токен.

4. Безопасное хранение токенов. Рассмотрите альтернативы локальному хранилищу для хранения токенов, например файлы cookie только для HTTP. К ним нельзя получить доступ с помощью JavaScript, что может предотвратить атаки XSS.

5. Обработка истечения срока действия. Всегда проверяйте срок действия JWT и соответствующим образом обрабатывайте токены с истекшим сроком действия. Обновляйте токены при необходимости, но делайте это безопасно.

Зная об этих потенциальных уязвимостях и следуя рекомендациям, вы можете обеспечить более безопасную реализацию JWT в Angular.

Заключение

Мы начали с базового понимания JWT — что это такое, его структура и как он работает. Затем мы углубились в роль JWT в механизме аутентификации. Наше путешествие продолжилось практическим руководством по реализации JWT в Angular с использованием Interceptors.

JWT играет незаменимую роль в создании безопасных и эффективных веб-приложений. Он упрощает процесс аутентификации и авторизации, улучшает взаимодействие с пользователем и облегчает плавную навигацию между различными службами — и все это с высоким уровнем безопасности.

Со всеми этими знаниями в вашем наборе инструментов теперь ваша очередь реализовать JWT в ваших приложениях Angular. Делайте это шаг за шагом, не бойтесь совершать ошибки и продолжайте исследовать. Удачного кодирования!

материалы по теме:

Новые материалы

Коллекции публикаций по глубокому обучению

Последние пару месяцев я создавал коллекции последних академических публикаций по различным подполям глубокого обучения в моем блоге https://amundtveit.com - эта публикация дает обзор 25..

Представляем: Pepita

Фреймворк JavaScript с открытым исходным кодом Я знаю, что недостатка в фреймворках JavaScript нет. Но я просто не мог остановиться. Я хотел написать что-то сам, со своими собственными..

Советы по коду Laravel #2

1-) Найти // You can specify the columns you need // in when you use the find method on a model User::find(‘id’, [‘email’,’name’]); // You can increment or decrement // a field in..

Работа с временными рядами спутниковых изображений, часть 3 (аналитика данных)

Анализ временных рядов спутниковых изображений для данных наблюдений за большой Землей (arXiv) Автор: Рольф Симоэс , Жильберто Камара , Жильберто Кейрос , Фелипе Соуза , Педро Р. Андраде ,..

3 способа решить квадратное уравнение (3-й мой любимый) -

1. Методом факторизации — 2. Используя квадратичную формулу — 3. Заполнив квадрат — Давайте поймем это, решив это простое уравнение: Мы пытаемся сделать LHS,..

Создание VR-миров с A-Frame

Виртуальная реальность (и дополненная реальность) стали главными модными терминами в образовательных технологиях. С недорогими VR-гарнитурами, такими как Google Cardboard , и использованием..

Демистификация рекурсии

КОДЕКС Демистификация рекурсии Упрощенная концепция ошеломляющей О чем весь этот шум? Рекурсия, кажется, единственная тема, от которой у каждого начинающего студента-информатика..

Метки

Machine Learning JavaScript Data Science Artificial Intelligence Web Development Software Development Python Coding Deep Learning AI React Software Engineering Nodejs Front End Development Java Algorithms Computer Science Typescript Data Tech Development CSS HTML Programming Languages Tutorial Angular Startup Productivity Python Programming Computer Vision Neural Networks Education Open Source Javascript Tips AWS NLP Learning Developer