Implementação Do Sistema De Autenticação Com JWT
Introdução
Implementar um sistema de autenticação é fundamental para proteger as aplicações web e garantir a segurança dos usuários. Neste artigo, vamos explorar a implementação de um sistema de autenticação utilizando JWT (JSON Web Token). O JWT é um token de autenticação que pode ser facilmente gerado, validado e utilizado em aplicações web.
O que é JWT?
O JWT é um token de autenticação que contém informações sobre o usuário que o gerou. Ele é composto por três partes:
- Header: contém informações sobre o algoritmo de assinatura e o tipo de token.
- Payload: contém as informações do usuário, como o ID, nome e email.
- Assinatura: é a assinatura digital do token, gerada utilizando um algoritmo de assinatura como o HMAC SHA-256.
Implementação do Sistema de Autenticação
Rota de Login
A primeira etapa é criar a rota de login em src/routes. Essa rota deve receber as credenciais do usuário (nome de usuário e senha) e validar se elas são válidas. Se as credenciais forem válidas, o sistema deve gerar um token JWT e retorná-lo ao usuário.
// src/routes/login.js
const express = require('express');
const router = express.Router();
const authController = require('../controllers/authController');
router.post('/', authController.login);
module.exports = router;
Controlador de Autenticação
O próximo passo é criar o controlador de autenticação em src/controllers. Esse controlador deve validar as credenciais do usuário e gerar um token JWT se elas forem válidas.
// src/controllers/authController.js
const jwt = require('jsonwebtoken');
const User = require('../models/User');
const login = async (req, res) => {
const { username, password } = req.body;
const user = await User.findOne({ username });
if (!user || !user.validPassword(password)) {
return res.status(401).json({ message: 'Credenciais inválidas' });
}
const token = jwt.sign({ userId: user._id }, process.env.SECRET_KEY, {
expiresIn: '1h',
});
return res.json({ token });
};
module.exports = { login };
Serviço de Autenticação
O serviço de autenticação é responsável por gerar e validar os tokens JWT. Ele deve ser criado em src/services.
// src/services/authService.js
const jwt = require('jsonwebtoken');
const generateToken = (userId) => {
const token = jwt.sign({ userId }, process.env.SECRET_KEY, {
expiresIn: '1h',
});
return token;
};
const validateToken = (token) => {
try {
const decoded = jwt.verify(token, process.env.SECRET_KEY);
return decoded;
} catch (error) {
return null;
}
};
module.exports = { generateToken, validateToken };
Rota Protegida
A última etapa é criar a rota protegida que exige um token JWT válido para acesso. Essa rota deve validar o token JWT antes de permitir o acesso.
// src/routes/protected.js
const express = require('express');
const router = express.Router();
const authService = require('../services/authService');
router.get('/', authService.validateToken, (req, res) => {
return res.json({ message: 'Acesso permitido' });
});
module.exports = router;
Conclusão
Implementar um sistema de autenticação utilizando JWT é uma prática comum em aplicações web. Neste artigo, exploramos a implementação de um sistema de autenticação utilizando JWT, incluindo a criação de rota de login, controlador de autenticação, serviço de autenticação e rota protegida. Lembre-se de seguir boas práticas e documentar o código para garantir a segurança e a manutenibilidade do sistema.
Responsáveis
- @leobaganha
- @mirelaads
Tarefas
- Criar rota de login em
src/routes - Criar controlador de autenticação em
src/controllers - Implementar serviço de autenticação em
src/services - Gerar token JWT ao autenticar usuário
- Validar token nas rotas protegidas
Perguntas e Respostas sobre Implementação do Sistema de Autenticação com JWT ====================================================================
Q: O que é JWT e como ele funciona?
A: O JWT (JSON Web Token) é um token de autenticação que contém informações sobre o usuário que o gerou. Ele é composto por três partes: Header, Payload e Assinatura. O Header contém informações sobre o algoritmo de assinatura e o tipo de token, o Payload contém as informações do usuário, como o ID, nome e email, e a Assinatura é a assinatura digital do token, gerada utilizando um algoritmo de assinatura como o HMAC SHA-256.
Q: Por que usar JWT em vez de outros métodos de autenticação?
A: O JWT é uma opção popular para autenticação porque é fácil de implementar, flexível e pode ser utilizado em aplicações web e móveis. Além disso, o JWT é seguro porque a Assinatura é gerada utilizando um algoritmo de assinatura, o que torna difícil para um atacante falsificar o token.
Q: Como gerar um token JWT?
A: Para gerar um token JWT, você precisa utilizar a biblioteca de JWT em sua linguagem de programação favorita. Por exemplo, em Node.js, você pode utilizar a biblioteca jsonwebtoken para gerar um token JWT.
const jwt = require('jsonwebtoken');
const token = jwt.sign({ userId: 1 }, process.env.SECRET_KEY, {
expiresIn: '1h',
});
Q: Como validar um token JWT?
A: Para validar um token JWT, você precisa utilizar a biblioteca de JWT em sua linguagem de programação favorita. Por exemplo, em Node.js, você pode utilizar a biblioteca jsonwebtoken para validar um token JWT.
const jwt = require('jsonwebtoken');
const decoded = jwt.verify(token, process.env.SECRET_KEY);
Q: O que é a Assinatura em um token JWT?
A: A Assinatura em um token JWT é a assinatura digital do token, gerada utilizando um algoritmo de assinatura como o HMAC SHA-256. A Assinatura é utilizada para verificar a integridade e a autenticidade do token.
Q: Como proteger um token JWT de ser interceptado?
A: Para proteger um token JWT de ser interceptado, você pode utilizar técnicas de segurança como HTTPS, SSL/TLS e autenticação de dois fatores.
Q: O que é a Expiração em um token JWT?
A: A Expiração em um token JWT é o tempo após o qual o token expira e não pode ser mais utilizado. A Expiração é configurada utilizando o parâmetro expiresIn na função jwt.sign().
Q: Como gerar um token JWT com expiração?
A: Para gerar um token JWT com expiração, você precisa utilizar a função jwt.sign() e configurar o parâmetro expiresIn com o tempo de expiração desejado.
const jwt = require('jsonwebtoken');
const token = jwt.sign({ userId: 1 }, process.env.SECRET_KEY, {
expiresIn: '1h',
});
Q: Como validar um token JWT com expiração?
A: Para validar um token JWT com expiração, você precisa utilizar a função jwt.verify() e verificar se o token ainda está válido.
const jwt = require('jsonwebtoken');
const decoded = jwt.verify(token, process.env.SECRET_KEY);
Q: O que é a Requisição de Refresh Token?
A: A Requisição de Refresh Token é uma requisição que é enviada ao servidor para obter um novo token JWT após o token atual expirar.
Q: Como gerar um Refresh Token?
A: Para gerar um Refresh Token, você precisa utilizar a função jwt.sign() e configurar o parâmetro expiresIn com o tempo de expiração desejado.
const jwt = require('jsonwebtoken');
const refreshToken = jwt.sign({ userId: 1 }, process.env.SECRET_KEY, {
expiresIn: '1d',
});
Q: Como validar um Refresh Token?
A: Para validar um Refresh Token, você precisa utilizar a função jwt.verify() e verificar se o token ainda está válido.
const jwt = require('jsonwebtoken');
const decoded = jwt.verify(refreshToken, process.env.SECRET_KEY);
Q: O que é a Requisição de Logout?
A: A Requisição de Logout é uma requisição que é enviada ao servidor para remover o token JWT do usuário.
Q: Como gerar uma Requisição de Logout?
A: Para gerar uma Requisição de Logout, você precisa enviar uma requisição HTTP com o método DELETE para a rota de logout.
const axios = require('axios');
axios.delete('/logout')
.then((response) => {
console.log(response.data);
})
.catch((error) => {
console.error(error);
});
Q: Como validar uma Requisição de Logout?
A: Para validar uma Requisição de Logout, você precisa verificar se o token JWT está válido e se o usuário está autenticado.
const jwt = require('jsonwebtoken');
const decoded = jwt.verify(token, process.env.SECRET_KEY);
if (decoded.userId === 1) {
// O usuário está autenticado
} else {
// O usuário não está autenticado
}