Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519...
Transcript of Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519...
![Page 1: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/1.jpg)
Heroes Academy
![Page 2: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/2.jpg)
|
Securing WebAPI calls with JWT
Peter RomboutsSenior Technologiespecialist Microsoft
Vianen, 25 Januari 2017
2Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
![Page 3: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/3.jpg)
|
Agenda
1. Wat is een JSON Web Token?
2. Tokens en Security
3. Demo
4. Authentication Scenarios for Azure AD
5. Demo
6. Aandachtspunten
3Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
![Page 4: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/4.jpg)
|
Wat is een JSON Web Token?
“JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.”
Bestaat uit
• Header
• Payload (Claims)
• Signature
4Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
![Page 5: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/5.jpg)
|
Wat is een JSON Web Token?
5Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
![Page 6: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/6.jpg)
|
Tokens en Security
Informatiebeveiliging in stappen
1. IdentificatieHet kenbaar maken van de identiteit van een subject (een gebruiker/proces)
2. AuthenticatieHet proces waarbij iemand nagaat of een gebruiker, een andere computer of
applicatie daadwerkelijk is wie hij beweert te zijn.
3. AutorisatieHet proces waarin een subject (een persoon of een proces) rechten krijgt op het
benaderen van een object (een bestand, een systeem).
6Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
![Page 7: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/7.jpg)
|
Tokens en Security
Server gebaseerd
• Stateful
• Lastig schaalbaar
• Performance (serialisatie/deserialisatie)
• Platform afhankelijk
7Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
![Page 8: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/8.jpg)
|
Tokens en Security
Token gebaseerd
• Stateless
• Schaalbaar
• Performance
• Platform onafhankelijk
8Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
![Page 9: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/9.jpg)
|
Demo
9Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
![Page 10: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/10.jpg)
|
Azure AD
10Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
![Page 11: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/11.jpg)
|
Demo
11Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
Active Directory Authentication Library for JavaScript (ADALJS)
![Page 12: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/12.jpg)
|
Aandachtspunten
12Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
JWT is een authenticatie protocol, geen framework zoals OAuth2
• Tokens hebben een grootte limiet
• Tokens kunnen niet worden ingetrokken (revocation)
• Zorg daarom voor een korte levensduur (expiration)
Security is veel meer! Denk bijvoorbeeld aan
• Secure Coding / Ethical Hacking / Audits
• Database Security / SIEM / Firewalling / Network Infrastructure
![Page 13: Heroes AcademyWat is een JSON Web Token? “JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.” Bestaat uit •](https://reader034.fdocument.pub/reader034/viewer/2022052104/603ee9904ca79c32f35912ea/html5/thumbnails/13.jpg)
|
Links en meer
13Securing WebAPI calls with JWT – Sogeti Microsoft Heroes Academy
Links en Info:• JWT https://jwt.io/• OAuth2 https://oauth.net/2/• Postman https://www.getpostman.com/• Active Directory Authentication Library for JavaScript
https://github.com/AzureAD/azure-activedirectory-library-for-js• Authentication Scenarios for Azure AD (SPA)
https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-authentication-scenarios#single-page-application-spa
Packages:• Angular JWT: https://github.com/auth0/angular-jwt• System.IdentityModel.Tokens.Jwt http://www.nuget.org/packages/System.IdentityModel.Tokens.Jwt/