Page d'accueil>Lié à la programmation>Code source de Delphes
Télécharger

Bibliothèque de Delphi Jose et JWT


Bibliothèque de Delphi JWT

Qu'est-ce que la bibliothèque Delphi Jose et JWT

Implémentation de Delphi de JWT (Token Web JSON) et de spécification Jose (JSON Object Signing and Encryption). Cette bibliothèque prend en charge les sérialisations compactes JWS (support JWE est planifiée) avec plusieurs algorithmes Jose.

Image de la démo de Delphi-Jose

Articles sur l'utilisation de Delphi-Jose

  • Authentification JWT avec Delphi. Partie 1 - Introduction des technologies JWT et d'authentification (en utilisant Delphi)
  • Authentification JWT avec Delphi. Partie 2 - Comprendre le jeton Web JSON
  • Authentification JWT avec Delphi. Partie 3 - Utilisation de Delphi-Jose-JWT pour générer et vérifier les jetons JWT
  • Authentification JWT avec Delphi. Partie 4 - Utilisation du consommateur JWT pour valider les affirmations de JWT

IMPORTANT: OpenSSL Exigences

HMAC en utilisant l'algorithme SHA

Avant Delphi 10 Seattle, l'algorithme HMAC-SHA utilise OpenSSL via la bibliothèque Indy, donc afin de générer le jeton, vous devez avoir les DLL OpenSSL dans votre système de serveur.

Dans les versions Delphi 10 Seattle ou plus récentes de Delphi, l'algorithme HMAC est également dans l'unité System.Hash, donc OpenSSL n'est pas nécessaire.

HMAC utilisant l'algorithme RSA ou ECDSA

L'algorithme HMAC-RSA (ECDSA) utilise nécessairement OpenSSL, donc si vous prévoyez d'utiliser ces algorithmes pour signer votre jeton, vous devez télécharger et déployer OpenSSL (sur le serveur).

Considérations côté client

Veuillez garder à l'esprit que le client n'a pas à générer ou à vérifier le jeton (en utilisant SHA ou RSA), donc le côté client n'est pas nécessaire pour les DLL OpenSSL.

OpenSSL Téléchargement

Si vous avez besoin de la bibliothèque OpenSSL sur le serveur, vous pouvez télécharger le package directement sur la page du projet GitHub d'Indy (gardez à l'esprit pour toujours mettre à jour la dernière version et pour correspondre à la bibliothèque de votre application)

❓ Qu'est-ce que Jose

Jose est une norme qui fournit une approche générale de la signature et du cryptage de tout contenu. Jose se compose de plusieurs RFC:

  • JWT (JSON Web Token) - décrit la représentation des affirmations encodées dans JSON
  • JWS (Signature Web JSON) - décrit la production et la gestion des messages signés
  • JWE (JSON Web Encryption) - Décrit la production et la gestion des messages cryptés
  • JWA (algorithmes Web JSON) - décrit les algorithmes cryptographiques utilisés dans Jose
  • JWK (clé Web JSON) - décrit le format et la manipulation des clés cryptographiques dans Jose

⚡ Caractéristiques générales

Sérialisation des jetons

  • Un appel de méthode pour sérialiser un jeton

Désérialisation des jetons

  • Un appel de méthode pour valider et désérialiser un jeton compact

Validation des jetons et des réclamations (consommateur)

Algorithmes Soutenu
exp ✔️
iat ✔️
nbf ✔️
aud ✔️
iss ✔️
jti ✔️
typ ✔️

Classes faciles à utiliser pour le produit de jeton compact

  • Classes TJOSEProducer et TJOSEProducerBuilder (alias TJOSEProcess ) pour construire un nouveau jeton compact avec de nombreuses options

Des cours faciles à utiliser pour la validation personnalisée

  • Facile à utiliser les classes TJOSEConsumer et TJOSEConsumerBuilder pour valider le jeton avec une granularité fine
  • Validateurs personnalisés faciles à écrire!

Signature des algorithmes

Algorithmes Soutenu
None ✔️ Ne l'utilisez pas! ?
HS256 ✔️
HS384 ✔️
HS512 ✔️
RS256 ✔️ mis à jour!
RS384 ✔️ mis à jour!
RS512 ✔️ mis à jour!
ES256 ✔️ NOUVEAU! ?
ES384 ✔️ NOUVEAU! ?
ES512 ✔️ NOUVEAU! ?
ES256K ✔️ NOUVEAU! ?

Billets de sécurité

  • Cette bibliothèque n'est pas affectée par la vulnérabilité de l'algorithme None
  • Cette bibliothèque n'est pas sensible à la vulnérabilité du chiffrement récemment discutée.

Projets utilisant Delphi Jose et JWT

  • La bibliothèque Wirl Resful pour Delphi
  • TMS XDATA et TMS Sparkle . Lisez le billet de blog de Wagner R. Landgraf (il contribue également à ce projet)

? Faire

Caractéristiques
  • Support JWE
  • Prise en charge d'autres bibliothèques crypto (pack de cryptographie TMS, etc ...)
Code
  • Plus de tests unitaires
  • Plus d'exemples

? Condition préalable

Cette bibliothèque a été testée avec Delphi 12 Athènes , Delphi 11 Alexandria , Delphi 10.4 Sydney , Delphi 10.3 Rio , Delphi 10.2 Tokyo mais avec un peu de travail, il devrait compiler avec DXE6 et plus, mais je n'ai pas essayé ou testé, si vous réussissez dans cette tâche, je serai heureux de créer une branche de votre travail!

Bibliothèques / unités Dépendances

Cette bibliothèque n'a aucune dépendance sur les bibliothèques / unités externes.

Unités de Delphi utilisées:

  • System.json (DXE6 +) (Disponible sur les versions de Delphi antérieures en tant que data.dbxjson)
  • System.rtti (D2010 +)
  • System.Generrics.Collections (D2009 +)
  • System.netencoding (DXE7 +)
  • Unités Indy: IDHMAC, IDHMACSHA1, IDSSLOPENSSL, IDHASH

Notes Indy

  • Veuillez utiliser toujours la dernière version de GitHub

? Installation

Installation manuelle

Ajoutez simplement le chemin source "Source / Common" et Source / Jose "à votre chemin de projet Delphi et .. vous êtes prêt à partir!

Boss Package Manager

Utilisation de la commande boss install : 

$ boss install github.com/paolo-rossi/delphi-jose-jwt

Exemples de code rapide

Créer un jeton

Pour créer un jeton, créez simplement une instance de la classe TJWT et définissez les propriétés (affirmations).

Utilisation de la classe d'utilité tjose

La façon la plus simple de construire un jeton JWT (représentation compacte) est d'utiliser l'interface IJOSEProducer : 

 uses
  JOSE.Producer;

var
  LResult: string;
begin
  LResult := TJOSEProcess.New
    .SetIssuer( ' Delphi JOSE Library ' )
    .SetIssuedAt(Now)
    .SetExpiration(Now + 1 )
    .SetAlgorithm(LAlg)
    .SetKey(TJOSEAlgorithmId.HS256)
    .Build
    .GetCompactToken
  ;

  memoCompact.Lines.Add(LResult);
end ;

Utilisation de la classe d'utilité tjose

Une autre façon de sérialiser, de désérialiser, de vérifier un jeton consiste à utiliser la classe d'utilité TJOSE : 

 uses
  JOSE.Core.JWT,
  JOSE.Core.Builder;

var
  LToken: TJWT;
  LCompactToken: string;
begin
  LToken := TJWT.Create;
  try
    // Token claims
    LToken.Claims.Issuer := ' WiRL REST Library ' ;
    LToken.Claims.Subject := ' Paolo Rossi ' ;
    LToken.Claims.Expiration := Now + 1 ;

    // Signing and Compact format creation
    LCompactToken := TJOSE.SHA256CompactToken( ' my_very_long_and_safe_secret_key ' , LToken);
    mmoCompact.Lines.Add(LCompactToken);
  finally
    LToken.Free;
  end ;

Utilisation de classes TJWT, TJWS et TJWK

En utilisant les classes TJWT , TJWS et TJWK vous avez plus de contrôle sur la création du jeton compact final. 

 var
  LToken: TJWT;
  LSigner: TJWS;
  LKey: TJWK;
  LAlg: TJOSEAlgorithmId;
begin
  LToken := TJWT.Create;
  try
    // Set your claims
    LToken.Claims.Subject := ' Paolo Rossi ' ;
    LToken.Claims.Issuer := ' Delphi JOSE Library ' ;
    LToken.Claims.IssuedAt := Now;
    LToken.Claims.Expiration := Now + 1 ;

    // Choose the signing algorithm
    case cbbAlgorithm.ItemIndex of
      0 : LAlg := TJOSEAlgorithmId.HS256;
      1 : LAlg := TJOSEAlgorithmId.HS384;
      2 : LAlg := TJOSEAlgorithmId.HS512;
    else LAlg := TJOSEAlgorithmId.HS256;
    end ;

    // Create your key from any text or TBytes
    LKey := TJWK.Create(edtSecret.Text);

    try
      // Create the signer
      LSigner := TJWS.Create(LToken);
      try
        // With this option you can have keys < algorithm length
        LSigner.SkipKeyValidation := True;

        // Sign the token!
        LSigner.Sign(LKey, LAlg);

        memoCompact.Lines.Add( ' Header: ' + LSigner.Header);
        memoCompact.Lines.Add( ' Payload: ' + LSigner.Payload);
        memoCompact.Lines.Add( ' Signature: ' + LSigner.Signature);
        memoCompact.Lines.Add( ' Compact Token: ' + LSigner.CompactToken);
      finally
        LSigner.Free;
      end ;
    finally
      LKey.Free;
    end ;  
  finally
    LToken.Free;
  end ;

Déballer et vérifier la signature d'un jeton

Le déballage et la vérification des jetons sont simples.

Utilisation de la classe d'utilité tjose

Vous devez passer la clé et le format compact de jeton à la fonction TJOSE.Verify class 

 var
  LKey: TJWK;
  LToken: TJWT;
begin
  // Create the key from a text or TBytes
  LKey := TJWK.Create( ' my_very_long_and_safe_secret_key ' );

  // Unpack and verify the token!
  LToken := TJOSE.Verify(LKey, FCompactToken);

  if Assigned(LToken) then
  begin
    try
      if LToken.Verified then
        mmoJSON.Lines.Add( ' Token signature is verified ' )
      else
        mmoJSON.Lines.Add( ' Token signature is not verified ' )
    finally
      LToken.Free;
    end ;
  end ;

end ;

Déballage et validation des jetons

En utilisant la nouvelle classe TJOSEConsumer il est très facile de valider les affirmations du jeton. L'objet TJOSEConsumer est construit avec la classe d'utilité TJOSEConsumerBuilder à l'aide de l'interface fluide. 

 var
  LConsumer: IJOSEConsumer;
begin
  LConsumer := TJOSEConsumerBuilder.NewConsumer
    .SetClaimsClass(TJWTClaims)

    // JWS-related validation
    .SetVerificationKey(edtConsumerSecret.Text)
    .SetSkipVerificationKeyValidation
    .SetDisableRequireSignature

    // string-based claims validation
    .SetExpectedSubject( ' paolo-rossi ' )
    .SetExpectedAudience(True, [ ' Paolo ' ])

    // Time-related claims validation
    .SetRequireIssuedAt
    .SetRequireExpirationTime
    .SetEvaluationTime(IncSecond(FNow, 26 ))
    .SetAllowedClockSkew( 20 , TJOSETimeUnit.Seconds)
    .SetMaxFutureValidity( 20 , TJOSETimeUnit.Minutes)

    // Build the consumer object
    .Build();

  try
    // Process the token with your rules!
    LConsumer.Process(Compact);
  except
    // (optionally) log the errors
    on E: Exception do
      memoLog.Lines.Add(E.Message);
  end ;
Paolo Rossi
Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout