Get in touch

via S.Lucia 143
Napoli, ITALY

Tel.: 081 011 85 17
Fax: 081 011 36 67
P.Iva IT 08591891216
REA NA 969849

Contattaci

Italian Italian
it Italianzh-CN Chinese (Simplified)en Englishfr Frenchde Germanel Greekiw Hebrewja Japanesept Portugueseru Russianes Spanish
  • Home
  • Blog
  • Linux Day Napoli 2017 - JSON Web Tokens - RFC 7519 - Programma il Futuro

Linux Day Napoli 2017 - JSON Web Tokens - RFC 7519 - Programma il Futuro

Scritto il .

Slide del talk di Mario Rossano CTO/CEO Netlogica durante il Linux Day presso l'Aula Magna "Leopoldo Massimilla" di Ingegneria - Univ. Federico II.

JSON Web Tokens (JWT) è una tecnologia utilizzata per l'autenticazione utente che non necessita di sessioni - e quindi di frequenti query al database - con conseguente incremento della scalabilità e riduzione della complessità a vantaggio anche della cybersecurity del sistema.

Un dato da sottolineare è che JWT è uno standard (https://tools.ietf.org/html/rfc7519), con un flusso ben preciso, non occorrerà quindi "reinventare" la ruota per l'implementazione essendovi peraltro classi nei più diffusi linguaggi di programmazione.

In JWT le informazioni sono impacchettate in formato JSON, inoltre implementa diversi algoritmi crittografici per la verifica delle informazioni che trasporta - dispone di un MAC (Message Authentication Code) integrato ed è self-contained trasportando con sé tutti i dati necessari al suo utilizzo.

Un JSON Web Token si presenta come una stringa data dalla concatenazione di tre stringhe codificate in base64: header, payload e signature.

 jwt rappresentazione2

l'header dichiara il tipo (JWT) e l'algoritmo crittografico utilizzato.

{
  "typ": "JWT",
  "alg": “HS256”
}

 

Payload contiene le informazioni da trasmettere.

{
  "id": "1234567",
  "name": “John Doe”,
  "role": “admin”
}

 

Signature è la firma per la verifica dei dati, costruita mediante hash della concatenazione di header e payload utilizzando un sale crittografico - una chiave segreta.

var signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), 'secret');

 

Di seguito un esempio in Perl per l'implementazione di JWT a chiave simmetrica ed asimmetrica.

jwtSender.pl stampa a video un form in cui l'utente inserisce i propri dati personali e seleziona il tipo di algoritmo crittografico da utilizzare per la firma. 

jwtReceiver.pl riceve il token da jwtSender.pl, verifica le informazioni e stampa a video i dati ricevuti se la firma è verificata.

 

jwtSender.pl

	#!/usr/bin/perl -w

	use strict;
	use warnings;
	use feature 'say', 'switch';

	use CGI ':standard';
	use CGI::Carp 'fatalsToBrowser';
	use LWP::UserAgent;

	use Data::Dumper;
	use Crypt::JWT qw(encode_jwt);

	# inizializza output
	print "Content-Type: text/html\n\n";

	# chiave
	my $privateKey;
	my %key;

	# lettura dati da inviare nel formato JWT
	my $queryString = CGI->new();
	my $cryptoAlgorithm = $queryString->param('algoritmo');
	my $nome = $queryString->param('nome');
	my $cognome = $queryString->param('cognome');
	my $anni = $queryString->param('anni');

	# costruzione JWT: valorizzare hash payload, key, alg

	if ($cryptoAlgorithm eq 'HS256') {
		$privateKey = 'YLugdUWAY9';
		%key = (
			key => $privateKey
		)
	} else { #RS256
		$privateKey = "
		-----BEGIN RSA PRIVATE KEY-----
		MIICWwIBAAKBgQDdlatRjRjogo3WojgGHFHYLugdUWAY9iR3fy4arWN....
		-----END RSA PRIVATE KEY-----  
		";
		%key = (
			key => \$privateKey
		);
	}

	my %payload = (
		payload => {
			nome => $nome,
			cognome => $cognome,
			anni => $anni
		}
	);

	my %alg = (
		alg => $cryptoAlgorithm
	);

	my $token = encode_jwt(
		%payload,
		%key,
		%alg
	);

	# output
	say 'Signing -> send JWT to server

';
	say $token;

	my @jwtData = split(/\./,$token);
	say '
Payload '.$jwtData[0];
	say '
Key '.$jwtData[1];
	say '
Alg '.$jwtData[2];
	say '
Signed with key '. $privateKey;
	exit;

 

jwtReceiver.pl

	#!/usr/bin/perl -w

	use strict;
	use warnings;
	use feature 'say';

	use CGI ':standard';
	use CGI::Carp 'fatalsToBrowser';

	use Data::Dumper;
	use Crypt::JWT qw(decode_jwt);

	my $receivedData;

	# inizializza output
	print "Content-Type: text/html\n\n";
	my $output;

	my $queryString = CGI->new();
	my $token = $queryString->param('token');
	my $alg = $queryString->param('alg');

	my $key;
	if ($alg eq 'HS256') {
		$key = 'YLugdUWAY9'
	} else { #RS256
		$key = "
		-----BEGIN PUBLIC KEY-----
		MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBi...
		-----END PUBLIC KEY-----  
		"
	}

	if ($token ne '' && $alg eq 'RS256') {
		$receivedData = decode_jwt(
			token => $token,
			key => \$key,
			verify_exp => 0
		);
	} else {
		$receivedData = decode_jwt(
			token => $token,
			key => $key,
			verify_exp => 0
		);
	}
	$output .= '
Nome: '.$receivedData->{nome};
	$output .= '
Cognome: '.$receivedData->{cognome};
	$output .= '
Età: '.$receivedData->{anni};

	say $output;
	say '

Verified with key '. $key;
	exit;

 

L'importanza di JWT in un'ottica di scalabilità

Occorre innanzitutto ricordare che HTTP (come HTTPS) è un protocollo stateless che non si occupa quindi di "ricordare" e gestire in alcun modo lo stato dell'utente. Per ovviare si utilizzano le "sessioni", costituite da un oggetto server side (contenente ad esempio l'ID utente salvato in un database) e da un cookie che è un oggetto client side (contenente ad esempio l'id dell'oggetto server side).

In un'architettura minima client-server lo schema di comunicazione è il seguente:

jwt client server

Se però l'architettura è solo di poco più complessa (e solitamente lo è) anche in una semplice configurazione con due - o più - server per un bilanciamento del carico oppure in un'architettura a microservices, lo schema precedente non funziona più. L'utente loggato sul server A viene redirezionato sul server B che però ignora il suo status e nel migliore dei casi richiederà un nuovo login all'utente.

jwt client microservices

Al problema si è ovviato interponendo un proxy che gestisce le transazioni e provvede ad uniformare le sessioni. Questo tipo di soluzione espone però un punto debole: la complessità aumenta a discapito della scalabilità.

 jwt client microservices session

 JWT permette invece di gestire le transazioni client-server in modo più efficiente e sicuro a vantaggio della scalabilità del sistema. Il server verifica le credenziali al login dell'utente e rilascia un token (non più un id di sessione salvato nel db dove dovrebbe poi essere ripreso alla successiva richiesta dell'utente unitamente ad un cookie che dovrà salvare l'utente). L'utente salva il token su localstorage e per tutte le successive richieste invierà il token che sarà verificato on the fly server side e senza alcuna chiamata al database server.

jwt schema

 La verifica del token è quella classica di un MAC e sarà gestita dall'apposito metodo della classe JWT.

mac message authentication code

 

Vantaggi

  • Stateless: non occorre gestire sessioni e tutto quanto ne consegue, come le frequenti query al database server;
  • Portabile: un solo token può essere riutilizzato su differenti backend, domini, applicazioni;
  • Cookieless: sul client il token può essere salvato dove si vuole: localStorage, indexDB, ecc.;
  • Mobile friendly: implementabile ovunque, su web, su app native (per cui la gestione cookie avrebbe richiesto uno sforzo aggiuntivo);
  • Built-in Expiration: dichiarando il claim exp nell’header;
  • CORS friendly: Cross-Origin Resource Sharing;
  • Decentralizzato: il token può essere generato ovunque;
  • Performance: cercare sessioni nel db ed estrarre le informazioni è dispendioso rispetto al calcolo di un HMACSHA256;
  • Standard: le specifiche RFC7519 sono state implementate in numerosi ambienti.

Desidero segnalare che la signature può essere effettuata anche con un algoritmo di crittografia a chiave pubblica, ad esempio RSA, separando quindi le chiavi pubblica e privata.

 

Classe JWT

Le classi per l'implementazione di JSON Web Token sono disponibili nei principali linguaggi, ad esempio, C, C++, Swift, Java, Javascript, Node.js, Perl, Ruby, .NET, PHP, ecc. Una lista aggiornata è disponibile su https://jwt.io/

 

Programma il Futuro

JWT ha il suo campo di applicazione, come si è visto, nell'autenticazione utente in architetture complesse ma non è il solo ambito. Avendo un MAC integrato è possibile utilizzarlo anche per verificare l'autenticità delle informazioni che si ricevono per qualsiasi finalità. Perché preferirlo ad altre implementazioni MAC? Perchè è uno standard!

Netlogica ha implementato JWT su Programma il Futuro (progetto congiunto CINI - MIUR - Code.org per la diffusione delle basi dell'informatica nella scuola italiana che nell'a.s. 2016/17 ha coinvolto oltre 1.600.000 studenti) al fine di verificare la veridicità dei dati dei donatori comunicati dalla piattaforma di Crowdfunding della TIM (https://sostieni.programmailfuturo.it/) per effettuare poi una serie di operazioni a valle.

jwt programma il futuro netlogica

JWT ci permette quindi di dire "bye bye" alle session, fornendo una tecnologia più sicura, scalabile e standard. Inoltre è naturalmente "mobile-friendly" potendo essere facilmente implementato nelle app (native e non). Non resta quindi che utilizzarlo da subito nei nostri software :)

 Video del Talk al Linux Day Napoli 2017

Slide del talk su Slideshare

0-day su Apache Web Server

Apache è il secondo webserver al mondo come numero di installazioni: ne deriva che i problemi di sicurezza su Apache possono impattare sensibilmente su una gran parte dell'universo "web" e non solo....

Leggi tutto

Pillole di sicurezza digitale - i webinar di Programma il Futuro

Mario Rossano, CEO/CTO Netlogica, e la dott.ssa Isabella Corradini, Presidente e Direttore Scientifico "Centro Ricerche Themis", hanno tenuto due webinar rivolti agli insegnanti di ogni ordine e grado intitolati: "Pillole di sicurezza digitale".

Leggi tutto

Phishing, Malware e Ransomware: difendersi con SPF

Da alcuni giorni una nuova versione del ransomware FTCODE ha come obiettivo gli utenti di lingua italiana. Come altri ransomware, l'azione principale svolta da FTCODE è quella di criptare i files della vittima, lasciandole come possibilità per il recupero l'acquisto della chiave di decifratura previo pagamento di un "riscatto" in bitcoin al malintenzionato (v. anche dal blog Netlogica "Ransomware, il lato oscuro della crittografia").

L'azione svolta da FTCODE non si ferma però alla sola cifratura dei files, ma si estende alla lettura delle password salvate nel browser ed, in alcuni casi, a quelle inserite nel programma di posta elettronica...

Leggi tutto

Classifica Top Shop - Clienti Netlogica nei top 200 e-commerce italiani

Netlogica è da sempre attenta alle ottimizzazioni software ed infrastrutturali per i suoi clienti e-commerce e nella fattispecie Prestashop: un negozio online che non garantisca adeguati livelli di sicurezza nei dati di pagamento che transitano o che risulti lento, è destinato a perdere terreno (e fatturato) con i suoi competitors.

L'articolo "Pagamenti sicuri e consegne rapide 200 store online promossi con lode" pubblicato su "la Repubblica", sezione Affari&Finanza, indica che l'Istituto Tedesco di Qualità e Finanza (ITFQ)  ha inserito uno dei nostri clienti e-commerce, Sampey, tra i migliori 200 siti italiani, al 9° posto nella sua categoria.

Leggi tutto

PrestaShop - Come reindicizzare il database prodotti in modo efficace

Prestashop è uno dei principali CMS specializzati per e-commerce (commercio elettronico). Tra i suoi punti di forza la semplicità, dovuta ad un'interfaccia utente intuitiva e leggera; la possibilità di personalizzazione del negozio elettronico mediante un'ampia disponibilità di estensioni, plugin e temi; le funzionalità avanzate come la gestione integrata del mail-marketing, differenti modalità di spedizione, rispondenza delle modalità di pagamento alla normativa europea con gestione delle tasse in funzione della nazione, gestione dei coupon, statistiche di vendita e tanto altro ancora.

Tuttavia un punto sensibile esposto da Prestashop è la necessità di re-indicizzare periodicamente i prodotti, al fine di generare sul database la tabella aggiornata per una ricerca veloce sul sito. L'operazione di reindicizzazione sin dalle prime versioni di Prestashop, come pure nelle ultime, è particolarmente heavy (gravosa), tanto che solitamente il processo PHP sul server va in timeout, con il risultato di produrre un database incompleto impedendo de facto una ricerca efficiente dei prodotti agli utenti/clienti. Questa circostanza non favorisce di certo gli acquisti che sono l'obiettivo finale dei nostri clienti hosting Prestashop.

Leggi tutto

Server IMAP - Rubrica contatti: come generarla dalla posta in arrivo

La rubrica contatti, specialmente per alcune categorie professionali, riveste un'importanza cruciale nel lavoro.

Come per tutte le informazioni su database, Netlogica provvede ad effettuare backup verificati per un eventuale recupero su richiesta del cliente ma in alcuni casi, spesso a valle di un trasferimento dominio con annesso servizio di posta elettronica, dove già prevediamo di trasferire sul nuovo mailserver tutti i messaggi di posta in giacenza sul precedente mailserver, può essere utile riprodurre sul webmail anche la rubrica.

Leggi tutto

Linux Day Napoli 2017 - JSON Web Tokens - RFC 7519 - Programma il Futuro

Slide del talk di Mario Rossano CTO/CEO Netlogica durante il Linux Day presso l'Aula Magna "Leopoldo Massimilla" di Ingegneria - Univ. Federico II.

JSON Web Tokens (JWT) è una tecnologia utilizzata per l'autenticazione utente che non necessita di sessioni - e quindi di frequenti query al database - con conseguente incremento della scalabilità e riduzione della complessità a vantaggio anche della cybersecurity del sistema.

Leggi tutto

Riavvio dei servizi? Automatico è meglio!

E' inutile negarlo! I processi in esecuzione su un server prima o poi si interrompono inaspettatamente. La questione non è quindi SE ma nemmeno QUANDO: la vera questione è COSA fare in una situazione di discontinuità di servizio.

Leggi tutto

ePub3 - l'ebook come app per i licei in rete di Napoli

Netlogica web agency and software engineering, progetta e rilascia per i licei in rete di Napoli (Liceo Garibaldi,  Liceo Genovesi, Liceo Umberto I, Liceo Vittorio Emanuele II) la collana di ebook "Engaging the future - Il futuro ha radici antiche" come supporto multimediale ed interattivo alla didattica.

Gli ebook, progettati nello standard open ePub3, comprendono funzionalità tipiche delle app come il salvataggio delle risposte ai moduli questionario integrati negli ebook e la verifica delle risposte negli stessi ebook previo inserimento di password OTP (one time password), generate con un algoritmo progettato da Netlogica, attingendo all'esperienza maturata in ambito cybersecurity, per cui le password cambiano istante per istante ed una volta generate hanno una validità di 10 minuti.

Leggi tutto

Ransomware: il lato oscuro della Crittografia - "wannacry" il virus che tiene in scacco mezzo mondo

È notizia di queste ultime ore che un nuovo ransomware, “wannacry”, si sia diffuso molto rapidamente in tutto il mondo, infettando decine di migliaia di computer.

Diciamolo subito: il ransomware “wannacry” attacca solo i sistemi basati su Microsoft Windows e non i sistemi Linux, FreeBSD, OSX, ecc.

Un ransomware è un software che viene installato nel computer dell’utente e che, una volta in esecuzione, cripta i documenti che trova: foto, video, documenti pdf, fatture, atti, ecc. 

Leggi tutto

Rilasciato online ReputationAgency.eu

Rilasciato online il nuovo portale dell'agenzia di comunicazione Reputation Agency, tra le cui attività vi è la comunicazione del progetto Programma il Futuro (del MIUR - CINI) e la pubblicazione della rivista Reputation Today, la prima rivista di reputation in Italia con interviste, analisi, news dal mondo della comunicazione e del mercato.

Leggi tutto

Italian Cybersecurity Report 2016

Netlogica, tramite il suo CEO/CTO Mario Rossano, è stata accreditata all'Italian Cybersecurity Report 2016.

Leggi tutto

Netlogica rilascia netShield ver. 0.3

Security is never too much.

Netlogica sta sviluppando un tool software di sicurezza (cyber security) il cui core sarà rilasciato open source non appena superata la fase iniziale di beta testing.

Leggi tutto

Camera dei Deputati - Relazione di progetto Programma il Futuro

Presentata alla Camera dei Deputati la relazione "Professioni, arti e mestieri al tempo del coding" sui risultati raggiunti nei primi due anni da "Programma il Futuro", il progetto congiunto dal MIUR e dal CINI. Nella sala Aldo Moro anche il CEO/CTO di Netlogica, Mario Rossano, che ha curato lo sviluppo della piattaforma software di "Programma il Futuro".

Leggi tutto

Cyber security - intervento Netlogica su SIOI e ROMUNSIOI - United Nations in Rome

Completati gli interventi infrastrutturali a protezione dei siti web della SIOI (Società Italiana per l'Organizzazione Internazionale, Associazione Italiana per le Nazioni Unite) e ROMUNSIOI (The Official Model United Nations in Rome, official partner United States Diplomatic Missions).

Leggi tutto

App Android e iOS per il quotidiano ildenaro.it

Pronta la app per i nuovi servizi su mobile per il quotidiano ildenaro.it.

Leggi tutto

Intervista a Mario Rossano su Ora del Codice e Pensiero Computazionale

Il valore del Pensiero Computazionale, l'Ora del Codice e l'attività svolta da Programma il Futuro, questi i temi dell'intervista fatta da Chiara Grande di Seeweb a Mario Rossano CTO/CEO di Netlogica.

Leggi tutto

In HP per il progetto Edoc@Work

Mario Rossano CTO/CEO Netlogica presso il quartier generale di HP Italia per discutere delle linee relative alla consulenza che Netlogica dovrà fornire per il progetto Edoc@Work.

Leggi tutto

Pubblicato online il nuovo web del quotidiano ildenaro.it

Netlogica è lieta di annunciare il suo rilascio online del nuovo progetto del quotidiano online "ildenaro.it"

Leggi tutto

Pubblicato WhazART - the Professional Social Network of Contemporary Art

Netlogica è lieta di comunicare di aver rilasciato sulla sua infrastruttura cloud il progetto congiunto del social network WhazART per cui ha progettato ed implementato il software.

Leggi tutto

La buona scuola italiana, dove si programma (divertendosi)

Intervista al prof. Enrico Nardelli, del Dipartimento di Matematica dell'Università di Roma "Tor Vergata" ed al prof. Giorgio Ventre, del Dipartimento di Ingegneria delle Telecomunicazioni dell'Università degli Studi di Napoli "Federico II", promotori del progetto Programma il Futuro del CINI.

Leggi tutto

Netlogica software recensito su Tom's Hardware

"Programmazione nelle scuole italiane: un successo senza precedenti", così il titolo dell'articolo apparso sul prestigioso portale di settore "Tom's Hardware" entrato a far parte anche della famiglia di "Repubblica".

Leggi tutto

Linux Day 2014 - Napoli - Programma il Futuro: una scelta open source

Presentazione di Mario Rossano CTO/CEO Netlogica e di Marco Ferrigno (IT Security Manager) del progetto Programma il Futuro durante il Linux Day presso la sede dell'Osservatorio Astronomico di Capodimonte - Napoli.

Leggi tutto

Programma il Futuro - MIUR CINI Code.org

Online il progetto di sviluppo software di Netlogica (sistema di registrazione / bridge verso code.org e hourofcode.com e dei servizi software annessi al portale programmailfuturo.it) per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica http://www.consorzio-cini.it/) e il MIUR (Ministero dell'Istruzione, Università e Ricerca http://www.istruzione.it) in vista della settimana europea del codice (#codeeu codeweek.eu) e per la diffusione del pensiero computazionale come previsto dal piano del CdM #labuonascuola.

Leggi tutto

Il sito della Netlogica utilizza cookie tecnici e di terze parti anonimizzati, per fornire servizi in linea con le tue preferenze. Se prosegui con la navigazione accetti di ricevere i cookie.

Per non far apparire più questo avviso clicca su "Approvo" | Per saperne di piu'

Approvo

netlogica logo webtitle phone small

telefono 081 011 85 17

via S.Lucia 143
Napoli, ITALY

P.Iva IT 08591891216
REA NA 969849

X

Right Click

No right click