# JSON Web Tokens

## Token Appreciation

La Firma y Cifrado de Objetos JavaScript (JOSE) es un marco que especifica formas de transmitir información de forma segura en internet. Es más conocido por los tokens web JSON (JWT), que se utilizan para autorizarse en un sitio web o aplicación. Los JWT suelen lograr esto almacenando su "sesión de inicio de sesión" en su navegador después de que se haya autenticado ingresando su nombre de usuario y contraseña. En otras palabras, el sitio web le proporciona un JWT que contiene su ID de usuario y puede mostrarse al sitio para verificar su identidad sin tener que volver a iniciar sesión. Los JWT tienen este aspecto:

```
 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmbGFnIjoiY3J5cHRve2p3dF9jb250ZW50c19jYW5fYmVfZWFzaWx5X3ZpZXdlZH0iLCJ1c2VyIjoiQ3J5cHRvIE1jSGFjayIsImV4cCI6MjAwNTAzMzQ5M30.shKSmZfgGVvd2OSB2CGezzJ3N6WAULo3w9zCl_T47KQ
```

Se reconoce porque son datos codificados en base64, divididos en tres partes (separadas por un `.`): el encabezado, la carga útil y la firma. De hecho, es una variante de la codificación base64, donde los símbolos `+` y `/` se han reemplazado por caracteres especiales diferentes, ya que pueden causar problemas en las URL.

Algunos desarrolladores creen que la codificación JWT es como el cifrado, por lo que introducen datos confidenciales dentro de los tokens. Para demostrarles que se equivocan, decodifica el JWT anterior para encontrar la bandera. Existen herramientas en línea para hacerlo rápidamente, pero trabajar con la biblioteca [PyJWT](https://pyjwt.readthedocs.io/en/stable/) de Python te preparará mejor para futuros desafíos.


In [None]:
!pip install pyjwt
import jwt

token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmbGFnIjoiY3J5cHRve2p3dF9jb250ZW50c19jYW5fYmVfZWFzaWx5X3ZpZXdlZH0iLCJ1c2VyIjoiQ3J5cHRvIE1jSGFjayIsImV4cCI6MjAwNTAzMzQ5M30.shKSmZfgGVvd2OSB2CGezzJ3N6WAULo3w9zCl_T47KQ"

jwt.decode(token, options={"verify_signature": False})

##  JWT Sessions

La forma tradicional de almacenar sesiones es mediante cookies de ID de sesión. Tras iniciar sesión en un sitio web, se crea un objeto de sesión en el backend (el servidor) y su navegador (el cliente) recibe una cookie que identifica dicho objeto. Al realizar solicitudes al sitio, su navegador envía automáticamente la cookie de ID de sesión al servidor, que la utiliza para encontrar su sesión en su propia memoria y, por lo tanto, autorizarle a realizar acciones.

Los JWT funcionan de forma diferente. Tras iniciar sesión, el servidor envía a su navegador web el objeto de sesión completo en un JWT, que contiene una carga útil de pares clave-valor que describen su nombre de usuario, privilegios y otra información. También incluye una firma creada con la clave secreta del servidor, diseñada para evitar que manipule la carga útil. Su navegador web guarda el token en el almacenamiento local.

En las solicitudes posteriores, su navegador envía el token al servidor backend. El servidor verifica primero la firma y luego lee la carga útil del token para autorizarle.

> En resumen, con las cookies de ID de sesión, las sesiones viven en el servidor, pero con las JWT, las sesiones viven en el cliente.

La principal ventaja de los JWT sobre las cookies de ID de sesión es su fácil escalabilidad. Las organizaciones necesitan una forma de compartir sesiones entre múltiples servidores backend. Cuando un cliente cambia de un servidor o recurso a otro, su sesión debería seguir funcionando. Además, en organizaciones grandes podría haber millones de sesiones. Dado que los JWT residen en el cliente, resuelven estos problemas: cualquier servidor backend puede autorizar a un usuario simplemente comprobando la firma del token y leyendo los datos que contiene.

Desafortunadamente, los JWT tienen algunas desventajas, ya que suelen estar configurados de forma insegura y los clientes pueden modificarlos y comprobar si el servidor los verifica. Analizaremos estas vulnerabilidades en los próximos desafíos. Por ahora, el indicador es el nombre del encabezado HTTP que utiliza el navegador para enviar los JWT al servidor.

In [None]:
#El encabezado HTTP utilizado por el navegador para enviar JWTs al servidor es "Authorization"

## No Way JOSE

Analicemos los algoritmos JWT. La primera parte de un JWT es el encabezado JOSE, y al decodificarlo, se ve así:

```
{"typ":"JWT","alg":"HS256"}
```

Esto le indica al servidor que es un JWT y qué algoritmo usar para verificarlo. ¿Ves el problema? ¡El servidor debe procesar esta entrada no confiable antes de poder verificar la integridad del token! En protocolos criptográficos ideales, se verifican los mensajes recibidos antes de realizar cualquier otra operación; de lo contrario, como dice Moxie Marlinspike, "de alguna manera, inevitablemente conducirá al desastre".

El algoritmo "none" en los JWT es un buen ejemplo. El enlace a continuación te lleva a una página donde puedes interactuar con una API de sesión rota, que emula una vulnerabilidad existente en muchas bibliotecas JWT. Úsala para eludir la autorización y obtener la alerta.

Juega en [cryptohack.org](https://web.cryptohack.org/no-way-jose)


In [None]:
import requests
import base64

URL = "http://web.cryptohack.org/no-way-jose/"

def get_auth_route(token):
    return URL + f"authorise/{token}/"

sample = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6Impvc2UiLCJhZG1pbiI6ZmFsc2V9.N0TFykHTio1H705Ycipb4V4bV0vPXRQvu_8D4n8xB7I"
jwt = sample.split(".")

header = base64.b64decode(jwt[0])
payload = base64.b64decode(jwt[1])

mock_header = base64.b64encode(b'{"typ":"JWT","alg":"none" }').decode("utf-8")
mock_payload = base64.b64encode(b'{"username":"user","admin": true}').decode("utf-8")
mock_jwt = ".".join([mock_header, mock_payload, jwt[2]])

r = requests.get(get_auth_route(mock_jwt))
print(r.content.decode("utf-8"))