[jwt] O que é bearer?

REST

JWT

05/02/2019

bom dia amigos da comunidade!

Valendo DevUPsss :))) Quem poderia ajudar na construção dessa definiçâo sobre JWT:

Afinal, o que é bearer? ;-)

abracos!
Gladstone Matos

Gladstone Matos

Curtidas 1

Melhor post

Vitor Schweder

Vitor Schweder

05/02/2019

Existem alguns tipos de autenticação vou citar dois para exemplificar como Bearer e Basic.
O Bearer trafega um token no Header da requisição e o Basic um usuário e senha.
Se tratando de JWT após o usuário efetuar login no sistema/api, você criar um token (que pode ser manual ou utilizando libs como o https://github.com/firebase/php-jwt), utilize a lib para não ter que refazer a roda, pois é fácil fazer na mão mas não tem necessidade.

Dentro do token existem diversas informações que podem ser colocadas, mas nunca coloque dados sensíveis como senha, pode colocar, nome do usuário, perfil dentro do sistema, data de expiração do token, etc.

Lembrando que existem atributos adotados pela comunidade para identificação dos campos (Reserved claims) então o correto é manter esses padrões:

São atributos não obrigatórios (mas recomendados) que são usados na validação do token pelos protocolos de segurança das APIs.

sub (subject) = Entidade à quem o token pertence, normalmente o ID do usuário;
iss (issuer) = Emissor do token;
exp (expiration) = Timestamp de quando o token irá expirar;
iat (issued at) = Timestamp de quando o token foi criado;
aud (audience) = Destinatário do token, representa a aplicação que irá usá-lo.

Para mais informações detalhadas: https://tableless.com.br/entendendo-tokens-jwt/
GOSTEI 6

Mais Respostas

Gladstone Matos

Gladstone Matos

05/02/2019

Existem alguns tipos de autenticação vou citar dois para exemplificar como Bearer e Basic.
O Bearer trafega um token no Header da requisição e o Basic um usuário e senha.
Se tratando de JWT após o usuário efetuar login no sistema/api, você criar um token (que pode ser manual ou utilizando libs como o https://github.com/firebase/php-jwt), utilize a lib para não ter que refazer a roda, pois é fácil fazer na mão mas não tem necessidade.

Dentro do token existem diversas informações que podem ser colocadas, mas nunca coloque dados sensíveis como senha, pode colocar, nome do usuário, perfil dentro do sistema, data de expiração do token, etc.

Lembrando que existem atributos adotados pela comunidade para identificação dos campos (Reserved claims) então o correto é manter esses padrões:

São atributos não obrigatórios (mas recomendados) que são usados na validação do token pelos protocolos de segurança das APIs.

sub (subject) = Entidade à quem o token pertence, normalmente o ID do usuário;
iss (issuer) = Emissor do token;
exp (expiration) = Timestamp de quando o token irá expirar;
iat (issued at) = Timestamp de quando o token foi criado;
aud (audience) = Destinatário do token, representa a aplicação que irá usá-lo.

Para mais informações detalhadas: https://tableless.com.br/entendendo-tokens-jwt/


wow excelente Vitor! Obrigado pela contribuição com a comunidade! ;)
abracos
GOSTEI 0
POSTAR