delphi jose jwt

A implementação da Delphi do JWT (JSON Web Token) e o conjunto de especificação JOSE (JSON Object Signating and Criptografia). Esta biblioteca suporta as serializações compactas do JWS (JWE Support estão planejadas) com vários algoritmos Jose.

• Autenticação JWT com Delphi. Parte 1 - Introdução a Tecnologias de Autenticação e JWT (usando Delphi)
• Autenticação JWT com Delphi. Parte 2 - Compreendendo o Token da Web JSON
• Autenticação JWT com Delphi. Parte 3-Usando Delphi-Jose-JWT para gerar e verificar os tokens JWT
• Autenticação JWT com Delphi. Parte 4 - Usando o JWT Consumer para validar as reivindicações da JWT

Antes do Delphi 10 Seattle, o algoritmo HMAC-SHA usa o OpenSSL através da Biblioteca Indy; portanto, para gerar o token, você deve ter as DLLs OpenSSL no sistema de servidores.

Em Delphi 10 Seattle ou versões mais recentes do Delphi, o algoritmo HMAC também está no sistema.

O algoritmo HMAC-RSA (ECDSA) usa necessariamente o OpenSSL, portanto, se você planeja usar esses algoritmos para assinar seu token, precisará baixar e implantar OpenSSL (no servidor).

Lembre-se de que o cliente não precisa gerar ou verificar o token (usando SHA ou RSA); portanto, no lado do cliente, não há necessidade das DLLs OpenSSL.

Se você precisar da biblioteca OpenSSL no servidor, você pode baixar o pacote diretamente na página do projeto Github do Indy (lembre -se de sempre atualizar para a versão mais recente e combinar o bitness do aplicativo)

Jose é um padrão que fornece uma abordagem geral para a assinatura e criptografia de qualquer conteúdo. José consiste em vários RFC:

• JWT (JSON Web Token) - descreve a representação de reivindicações codificadas em JSON
• JWS (JSON Web Signature) - Descreve a produção e o manuseio de mensagens assinadas
• JWE (JSON Web Criptografia) - descreve as mensagens criptografadas de produção e manuseio
• JWA (JSON Web Algoritmos) - descreve algoritmos criptográficos usados em Jose
• JWK (JSON Web Key) - descreve o formato e o manuseio de chaves criptográficas em Jose

• Um método chama para serializar um token

• Um método chama para validar e desserializar um token compacto

• Fácil de usar as classes TJOSEProducer e TJOSEProducerBuilder (também conhecido como TJOSEProcess ) para construir um novo token compacto com muitas opções

• Fácil de usar as classes TJOSEConsumer e TJOSEConsumerBuilder para validar o token com uma granularidade fina
• Fácil de escrever validadores personalizados!

• Esta biblioteca não é afetada pela vulnerabilidade de None algoritmo
• Esta biblioteca não é suscetível à vulnerabilidade de criptografia recentemente discutida.

• A biblioteca Wirl Restful para Delphi
• TMS XDATA e TMS Sparkle . Leia a postagem do blog de Wagner R. Landgraf (ele também é um colaborador deste projeto)

• Apoio à JWE
• Apoio a outras bibliotecas criptográficas (pacote de criptografia TMS, etc ...)

• Mais testes de unidade
• Mais exemplos

Esta biblioteca foi testada com Delphi 12 Atenas , Delphi 11 Alexandria , Delphi 10.4 Sydney , Delphi 10.3 Rio , Delphi 10.2 Tóquio Mas, com algum trabalho, deve compilar com o DXE6 e superior , mas não tentei ou testei, se você for bem -sucedido, ficarei feliz para criar um ramo de seu trabalho!

Esta biblioteca não tem dependências de bibliotecas/unidades externas.

Unidades Delphi usadas:

• System.json (DXE6+) (disponível nas versões Delphi anteriores como data.dbxjson)
• System.rtti (D2010+)
• System.Generics.Collections (D2009+)
• System.NETENCODING (DXE7+)
• Indy Units: IDHMAC, IDHMACSHA1, IDSSLOPENSSL, IDHASH

• Por favor, use sempre a versão mais recente do GitHub

Basta adicionar o caminho da origem "Origem/Common" e a fonte/Jose "ao seu caminho do projeto Delphi e ... você está pronto!

Usando o comando boss install :

$ boss install github.com/paolo-rossi/delphi-jose-jwt

Para criar um token, basta criar uma instância da classe TJWT e definir as propriedades (reivindicações).

A maneira mais fácil de construir um token JWT (representação compacta) é usar a interface IJOSEProducer :

 uses
  JOSE.Producer;

var
  LResult: string;
begin
  LResult := TJOSEProcess.New
    .SetIssuer( ' Delphi JOSE Library ' )
    .SetIssuedAt(Now)
    .SetExpiration(Now + 1 )
    .SetAlgorithm(LAlg)
    .SetKey(TJOSEAlgorithmId.HS256)
    .Build
    .GetCompactToken
  ;

  memoCompact.Lines.Add(LResult);
end ;

Outra maneira de serializar, desaperializar, verificar um token é usar a classe de utilitário TJOSE :

 uses
  JOSE.Core.JWT,
  JOSE.Core.Builder;

var
  LToken: TJWT;
  LCompactToken: string;
begin
  LToken := TJWT.Create;
  try
    // Token claims
    LToken.Claims.Issuer := ' WiRL REST Library ' ;
    LToken.Claims.Subject := ' Paolo Rossi ' ;
    LToken.Claims.Expiration := Now + 1 ;

    // Signing and Compact format creation
    LCompactToken := TJOSE.SHA256CompactToken( ' my_very_long_and_safe_secret_key ' , LToken);
    mmoCompact.Lines.Add(LCompactToken);
  finally
    LToken.Free;
  end ;

Usando as classes TJWT , TJWS e TJWK , você tem mais controle sobre a criação do token compacto final.

 var
  LToken: TJWT;
  LSigner: TJWS;
  LKey: TJWK;
  LAlg: TJOSEAlgorithmId;
begin
  LToken := TJWT.Create;
  try
    // Set your claims
    LToken.Claims.Subject := ' Paolo Rossi ' ;
    LToken.Claims.Issuer := ' Delphi JOSE Library ' ;
    LToken.Claims.IssuedAt := Now;
    LToken.Claims.Expiration := Now + 1 ;

    // Choose the signing algorithm
    case cbbAlgorithm.ItemIndex of
      0 : LAlg := TJOSEAlgorithmId.HS256;
      1 : LAlg := TJOSEAlgorithmId.HS384;
      2 : LAlg := TJOSEAlgorithmId.HS512;
    else LAlg := TJOSEAlgorithmId.HS256;
    end ;

    // Create your key from any text or TBytes
    LKey := TJWK.Create(edtSecret.Text);

    try
      // Create the signer
      LSigner := TJWS.Create(LToken);
      try
        // With this option you can have keys < algorithm length
        LSigner.SkipKeyValidation := True;

        // Sign the token!
        LSigner.Sign(LKey, LAlg);

        memoCompact.Lines.Add( ' Header: ' + LSigner.Header);
        memoCompact.Lines.Add( ' Payload: ' + LSigner.Payload);
        memoCompact.Lines.Add( ' Signature: ' + LSigner.Signature);
        memoCompact.Lines.Add( ' Compact Token: ' + LSigner.CompactToken);
      finally
        LSigner.Free;
      end ;
    finally
      LKey.Free;
    end ;  
  finally
    LToken.Free;
  end ;

Desmarcar e verificar tokens é simples.

Você tem que passar a chave e o formato compacto de token para a função de classe TJOSE.Verify

 var
  LKey: TJWK;
  LToken: TJWT;
begin
  // Create the key from a text or TBytes
  LKey := TJWK.Create( ' my_very_long_and_safe_secret_key ' );

  // Unpack and verify the token!
  LToken := TJOSE.Verify(LKey, FCompactToken);

  if Assigned(LToken) then
  begin
    try
      if LToken.Verified then
        mmoJSON.Lines.Add( ' Token signature is verified ' )
      else
        mmoJSON.Lines.Add( ' Token signature is not verified ' )
    finally
      LToken.Free;
    end ;
  end ;

end ;

Usando a nova classe TJOSEConsumer , é muito fácil validar as reivindicações do token. O objeto TJOSEConsumer é construído com a classe utilitária TJOSEConsumerBuilder usando a interface fluente.

 var
  LConsumer: IJOSEConsumer;
begin
  LConsumer := TJOSEConsumerBuilder.NewConsumer
    .SetClaimsClass(TJWTClaims)

    // JWS-related validation
    .SetVerificationKey(edtConsumerSecret.Text)
    .SetSkipVerificationKeyValidation
    .SetDisableRequireSignature

    // string-based claims validation
    .SetExpectedSubject( ' paolo-rossi ' )
    .SetExpectedAudience(True, [ ' Paolo ' ])

    // Time-related claims validation
    .SetRequireIssuedAt
    .SetRequireExpirationTime
    .SetEvaluationTime(IncSecond(FNow, 26 ))
    .SetAllowedClockSkew( 20 , TJOSETimeUnit.Seconds)
    .SetMaxFutureValidity( 20 , TJOSETimeUnit.Minutes)

    // Build the consumer object
    .Build();

  try
    // Process the token with your rules!
    LConsumer.Process(Compact);
  except
    // (optionally) log the errors
    on E: Exception do
      memoLog.Lines.Add(E.Message);
  end ;