# Tutorial: Representação de comunicação por Token com Python
Author: Carlos Biagolini-Jr.
Limpar memória do Python

In [1]:
%reset -f

# Sobre esse tutorial
Neste tutorial, busquei reproduzir o comportamento esperado para comunicação Cliente-Servidor durante a rotina de autenticação de usuário, a ser aplicado durante autorização usando modelo de Bearer token. 

Neste caso hipotético, um usuário identificado como "email@email.com" e senha registrada de "123", faz login em um servidor hipotético, e recebe um token de acesso. 

Pequenas adaptações foram feitas para transformar o resultado da assinatura HMAC-SHA512, a fim de que o resultado fosse idêntico ao apresentado pela referência: https://jwt.io/


# Importar pacotes necessários

Importar biblioteca para calculo de HASH

In [2]:
# Calculo de hash
import hashlib
# Decode/Encode base64
import base64
# Assinatura hmac
import hmac
# Sorteio de número para assinatura
import random

# Desenvolvimento de assinatura
A função a seguir foi criada para assinar a mensagem HMAC-SHA512. Foi feita uma atualização de alguns caracteres, a fim de se obter o padrão observado em  https://jwt.io/

In [3]:
def assinarMensagem(senha, mensagem):
    rawSignature = hmac.new(senha.encode(), mensagem.encode(),  hashlib.sha512)
    verifySignature=base64.b64encode(rawSignature.digest()).decode('ascii')
    verifySignature = verifySignature.replace("/", "_")
    verifySignature = verifySignature.replace("+", "-")
    verifySignature = verifySignature.replace("=", "")
    
    return verifySignature

# Login
Usuário preenche dados de usuário e senha na página de login. Manda para o backend, que vai testar se está tudo ok (nesse exemplo vai estar tudo ok).

In [4]:
userName="email@email.com"
password="123"

Testa se o usuário e senha estão corretos

In [5]:
if (userName=="email@email.com" and password=="123"):
    print("Ok")
else:
    print("Usuário e/ou Senha inválido(s)")

Ok


# Preparo do token
OBS: Neste exemplo hipotético foi escolhido o SHA512, mas poderia ser qualquer outro algoritmo.

Sorteia um número para ser usado na geração do hash

In [6]:
randomNumber = str(random.randint(1, 99999999))
print("A senha '{}' será salva no BD para futura consulta".format(randomNumber))

A senha '92248383' será salva no BD para futura consulta


Prepara-se a informação a serem enviadas no token

In [7]:
header='{"alg":"HS512"}'
payload='{"userId":"42","cat":"client"}'

Codificar header em base64 

In [8]:
header_bytes = header.encode('ascii')
base64_header = base64.b64encode(header_bytes).decode('ascii')
base64_header

'eyJhbGciOiJIUzUxMiJ9'

Codificar payload em base64 

In [9]:
payload_bytes = payload.encode('ascii')
base64_payload = base64.b64encode(payload_bytes).decode('ascii')
base64_payload

'eyJ1c2VySWQiOiI0MiIsImNhdCI6ImNsaWVudCJ9'

A assinatura a mensagem

In [10]:
verifySignature=assinarMensagem(randomNumber,(base64_header+'.'+base64_payload))
verifySignature

'oeZ0zB-laVojrUQ29yrKcs8sGtqmQ5Nt2OAxA9BqT6r5RYV3M-Ndv0nY5eudYAwNQQAoNoGSuIRaKclKOAtYOw'

# Token

In [11]:
token=base64_header+"."+base64_payload+"."+verifySignature
token

'eyJhbGciOiJIUzUxMiJ9.eyJ1c2VySWQiOiI0MiIsImNhdCI6ImNsaWVudCJ9.oeZ0zB-laVojrUQ29yrKcs8sGtqmQ5Nt2OAxA9BqT6r5RYV3M-Ndv0nY5eudYAwNQQAoNoGSuIRaKclKOAtYOw'

# Comunicação cliente -> servidor
Cliente envia uma copia do Token armazenado no sessionstorage ou localstorage

In [12]:
tokenCopy = token

Ao receber o Token o servidor separa em 3 partes

In [13]:
tokenInfo=tokenCopy.split('.')
tokenInfo

['eyJhbGciOiJIUzUxMiJ9',
 'eyJ1c2VySWQiOiI0MiIsImNhdCI6ImNsaWVudCJ9',
 'oeZ0zB-laVojrUQ29yrKcs8sGtqmQ5Nt2OAxA9BqT6r5RYV3M-Ndv0nY5eudYAwNQQAoNoGSuIRaKclKOAtYOw']

Informação do HEAD

In [14]:
base64.b64decode(tokenInfo[0])

b'{"alg":"HS512"}'

Informação do PAYLOAD

In [15]:
base64.b64decode(tokenInfo[1])

b'{"userId":"42","cat":"client"}'

Sabendo-se os dados acima, o servidor recalcula a chave de verificação (procedimento apresentado anteriormente), e compara com o valor indicado cliente.

randomNumber: valor sorteado aleatoriamente para gerar a assinatura da mensagem. Esse dado será consultado no BD.

In [16]:
testSignature=assinarMensagem(randomNumber,(tokenInfo[0]+'.'+tokenInfo[1]))

In [17]:
if(tokenInfo[2]==testSignature):
    print('Cliente autenticado')
else:
    print('Acesso negado')

Cliente autenticado
