Seguridad en microservicios via micro profile jwt

@CesarHgt @tomitribeJavaDay Ecuador 2018
Seguridad en Microservicios
via Microprofile JWT
César Hernández
Tomitribe

● Senior Software Engineer at Tomitribe
● Java Champion
● Ducke’s Choice Award 2016, 2017
● Oracle Certified Professional
● +10 experience with Java EE
● Eclipse Commiter: Jakarta EE TCK, JAX-WS
and Microprofile.
● Open Source advocate, teacher and public
speaker
César Hernández

Java es Comunidad

https://tribestream.io/javadayec/
Diapositivas y referencias
CONTACTANOS @TOMITRIBE

“Lo mejor de los estándares es que terminas
teniendo muchas opciones por escoger.”
- Andrew S. Tanenbaum

Opciones de seguridad para
Microservicios
● Más allá de Basic Auth
● Teoría de OAuth 2.0
● Introducción a JWT
● Eclipse Microprofile
● Demo

Línea Base
1000 usuarios
x 3 TPS
4 saltos
3000 TPS
frontend
12000
TPS
backend

Basic Auth
(y sus problemas)

Mensaje en Basic Auth
POST /painter/color/object HTTP/1.1
Host: localhost:8443
Authorization: Basic c25vb3B5OnBhc3M=
User-Agent: curl/7.43.0
Accept: */*
Content-Type: application/json
Content-Length: 45
{"color":{"b":255,"g":0,"name":"blue","r":0}}

Basic Auth
Password Sent
3000 TPS
(HTTP+SSL)
username+password
Base64 (no auth)
(LDAP)
12000
TPS
(HTTP)
3000 TPS

Basic Auth
Password Sent
3000 TPS
(HTTP+SSL)
username+password
Base64
Lista Blanca
de IP
3000 TPS
(LDAP)
12000
TPS
(HTTP)

“Dame toda la
información del
salario de José.” “No se quien
eres,
…
pero por
supuesto!”

Ataque de fuerza bruta: Basic Auth
Password
válidos
3000
TPS
(HTTP+SSL)
Lista
Blanca IP
9000 TPS
(LDAP)
12000
TPS
(HTTP)
Passwords
inválidos
6000
TPS
(HTTP+SSL)

OAuth 2.0
(y sus problemas)

OAuth 2 - Password Grant
(LDAP)
(Repositorio
de Token)
Verificación de
Password
Generación de
Token
Post /oauth2/token
Host: api.superbliz.io
Accept: */*
Content-Type: application/x-www-form-urlencoded
Content-Length: 54
grand_type=password&username=snoopy&password=woodstock

(LDAP)
Verificación de
Password
Generación de
Token
(Repositorio
de Token)
Post /oauth2/token
Accept: */*
Content-Length: 54

Mensaje OAuth 2.0
POST /painter/color/object HTTP/1.1
Host: api.superbiz.io
Authorization: Bearer 2YotnFZFEjr1zCsicMWpAA
Accept: */*
Content-Length: 45
{"color":{"r":0,"g":0,"b":255,"name":"blue"}}

Mensaje OAuth 2.0
POST /painter/color/palette HTTP/1.1
Accept: */*
Content-Length: 45
{"color":{"r":0,"g":255,"b":0,"name":"green"}}

Mensaje OAuth 2.0
POST /painter/color/select HTTP/1.1
Accept: */*
Content-Length: 44
{"color":{"r":255,"g":0,"b":0,"name":"red"}}

Mensaje OAuth 2.0
POST /painter/color/fill HTTP/1.1
Accept: */*
Content-Length: 49
{"color":{"r":0,"g":255,"b":255,"name":"yellow"}}

Mensaje OAuth 2.0
POST /painter/color/stroke HTTP/1.1
Accept: */*
Content-Length: 49
{"color":{"r":255,"g":200,"b":255,"name":"orange"}}

OAuth 2 - Refresh Grant
(LDAP)
Verificación
Password
Generación
Token
(Repositorio
de Token)
Post /oauth2/token
Accept: */*
Content-Length: 54

Par anterior
∙ Access Token 2YotnFZFEjr1zCsicMWpAA
∙ Refresh Token tGzv3JOkF0XG5Qx2TlKWIA
Nuevo Par
∙ Access Token
6Fe4jd7TmdE5yW2q0y6W2w
∙ Refresh Token hyT5rw1QNh5Ttg2hdtR54e

Mensaje OAuth 2.0
Authorization: Bearer 6Fe4jd7TmdE5yW2q0y6W2w
Accept: */*
Content-Length: 46
{"color":{"r":0,"g":255,"b":0,"name":"green"}}

Mensaje OAuth 2.0
POST /painter/color/select HTTP/1.1
Accept: */*
Content-Length: 44
{"color":{"r":255,"g":0,"b":0,"name":"red"}}

Mensaje OAuth 2.0
POST /painter/color/fill HTTP/1.1
Accept: */*
Content-Length: 49
{"color":{"r":0,"g":255,"b":255,"name":"yellow"}}

¿Qué hemos logrado?

Ahora tenemos más passwords
(al menos tus dispositivos los tienen)

Terminología de nuevo…
∙ Password Grant???
∙ Logging in
∙ Token?
∙ Un password ligeramente ofuscado
∙ Equivalente a un HTTP session ID mejorado levemente

OAuth 2
Request enviados
(Authorization: Bearer …)
3000 TPS
(HTTP+SSL)
3000 TPS
(Verificaciones
de tokens)
Password enviados
(post oauth2/token …)
1000/daily
(HTTP+SSL)
OAuth 2
(LDAP)
4 saldos
12000
TPS
backend

“Quién es
6Fe4jd7TmdE5y
W2q0y6W2w
???????”
“No tengo idea.
Pregúntale al
servidor de
tokens.”

OAuth 2
Tokens enviados
3000 TPS
(HTTP+SSL)
3000 TPS
(verificación
token)
Password
Envidados
1000/daily
(HTTP+SSL)
OAuth 2
(LDAP)
12000
TPS
(Verificación
token)
8
Saldos
24000 TPS
backend

OAuth 2
3000 TPS
(Verificación
token)
(LDAP)
12000
TPS
(Verificación
token)
55%
del tráfico total
Tokens enviados
3000 TPS
(HTTP+SSL)
Password
Envidados
1000/daily
(HTTP+SSL)
OAuth 2
8
Saldos
24000 TPS
backend

OAuth 2
Puntero Puntero
Estado

Access Token
Puntero de Acceso?
Llave primaria de Acceso?

OAuth 2.0
Algoritmo de intercambio de
passwords de alta frecuencia?

OAuth 2.0
+
JSon Web Tokens (JWT)

JSon Web Token
∙ Pronunciado “YOT”
∙ JSON map con data de usuario
∙ Códificado Base64
∙ Firmado digitalmente (RSA-SHA256, HMAC-SHA512, etc)
∙ Mecanismo de expiración

Previamente un Access Token
∙ 6Fe4jd7TmdE5yW2q0y6W2w

Access Token ahora (JWT)
∙ eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbi10eXBlIj
oiYWNjZXNzLXRva2VuIiwidXNlcm5hbWUiOiJzbm9vcHkiLCJ
hbmltYWwiOiJiZWFnbGUiLCJpc3MiOiJodHRwczovL2RlbW8
uc3VwZXJiaXouY29tL29hdXRoMi90b2tlbiIsInNjb3BlcyI6WyJ0
d2l0dGVyIiwibWFucy1iZXN0LWZyaWVuZCJdLCJleHAiOjE0
NzQyODA5NjMsImlhdCI6MTQ3NDI3OTE2MywianRpIjoiNjY4
ODFiMDY4YjI0OWFkOSJ9.DTfSdMzIIsC0j8z3icRdYO1GaM
Gl6j1I_2DBjiiHW9vmDz8OAw8Jh8DpO32fv0vICc0hb4F0QCD
3KQnv8GVM73kSYaOEUwlW0k1TaElxc43_Ocxm1F5IUNZvz
lLJ_ksFXGDL_cuadhVDaiqmhct098ocefuv08TdzRxqYoEqYN
o

Nuevo Access Token
∙ header (JSON > Base64 URL Encoded)
∙ Describe como la firma (signature) del token puede ser
verificada
∙ payload (JSON > Base64 URL Encoded)
∙ Json map de información que desees incluir
∙ Campo estándar como el de Expiración
∙ signature (Binary > Base64 URL Encoded)
∙ La firma digital
∙ Hecha exclusivamente por el endpoint: /oauth2/token
∙ Si es RSA puede ser verificado por cualquier persona

∙ { "alg": “RS256", "typ": “JWT" }
∙ {
"token-type": "access-token",
"username": "snoopy",
"animal": "beagle",
"iss": "https://demo.superbiz.com/oauth2/token",
"scopes": [
“twitter”, "mans-best-friend"
],
"exp": 1474280963,
"iat": 1474279163,
"jti": "66881b068b249ad9"
}
∙ DTfSdMzIIsC0j8z3icRdYO1GaMGl6j1I_2DBjiiHW9vmDz8OAw8Jh8DpO32fv0vI
Cc0hb4F0QCD3KQnv8GVM73kSYaOEUwlW0k1TaElxc43_Ocxm1F5IUNZvzlLJ
_ksFXGDL_cuadhVDaiqmhct098ocefuv08TdzRxqYoEqYNo

Ligero pero con alto impacto en
la arquitectura

¿Qué tenemos hasta el
momento?
(repaso)

Resultado final
cliente permanece
con el Pointer
Server almacena
State

¿Qué podemos hacer ahora?
(hola JWT!)

LDAP Data completa
del usuario
desde
ldap

LDAP
La data se
representa
en JSON

LDAP
JSON es
firmado
RSA-SHA 256

LDAP
Se inserta
solamente
el
pointer en
DB(para
revocaciones)

LDAP
Envío del Access Token
(estado)
hacia el cliente

Servidor almacena el
Puntero
Cliente permanece con el
Estado
Resultado obtenido

(LDAP)
(Repositorio
Token ID)
Verifica
Password
Genera
Token
Firmado
(Signed)
Post /oauth2/token
Accept: */*
Content-Length: 54

(LDAP)
Verifica
Password
(Repositorio
Token ID)
Genera
Token
Firmado
(Signed)

Mensaje OAuth 2.0 con JWT
Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbi10eXBlIjoiYWNjZXNzLXR
va2VuIiwidXNlcm5hbWUiOiJzbm9vcHkiLCJhbmltYWwiOiJiZWFnbGUiLCJpc3MiOiJodHRwczovL2RlbW8
uc3VwZXJ
iaXouY29tL29hdXRoMi90b2tlbiIsInNjb3BlcyI6WyJ0d2l0dGVyIiwibWFucy1iZXN0LWZyaWVuZCJdLCJleH
AiOjE0NzQy
ODA5NjMsImlhdCI6MTQ3NDI3OTE2MywianRpIjoiNjY4ODFiMDY4YjI0OWFkOSJ9.DTfSdMzIIsC0j8z3icRd
YO1GaMGl
6j1I_2DBjiiHW9vmDz8OAw8Jh8DpO32fv0vICc0hb4F0QCD3KQnv8GVM73kSYaOEUwlW0k1TaElxc43_Oc
xm1F5IUNZ
vzlLJ_ksFXGDL_cuadhVDaiqmhct098ocefuv08TdzRxqYoEqYNo
Accept: */*
Content-Length: 46
{"color":{"b":0,"g":255,"r":0,"name":"green"}}

OAuth 2 + JWT
Tokens enviados
3000 TPS
(HTTP+SSL)
0.55 TPS
(Verificaciones
refresh token)
OAuth
2
(LDAP)
4 saltos
12000 TPS
backend
3000 TPS
(verifica firma)
12000 TPS
(verifica firma)
Password enviados
(post oauth2/token …)
1000/daily
(HTTP+SSL)

“No!”
“Dame toda la
información del
salario de José.”

“Claro!”
“Dame toda la
información del
salario de José.”

OAuth 2 + JWT
Envío de
Tokens válidos
3000 TPS
(HTTP+SSL)
IP
whitelisting
0.55 TPS
(verifica refresh token)
Password enviados
1000/daily
(HTTP+SSL)
(LDAP)
4 saltos
12000 TPS
backend
9000 TPS
(verifica firma)
12000 TPS
(verifica firma)
Token inválidos
6000 TPS
(HTTP+SSL)

https://connect2id.com/products/nimbus-jose-jwt
Librería JWT
https://github.com/jwtk/jjwt
https://github.com/auth0/java-jwt

Eclipse MicroProfile

MicroProfile
∙ Comunidad Open-Source de la fundación Eclipse
∙ Enfocada en Microservicios bajo JavaEE
∙ Generadora de: Specificaciones, API y TCK.
∙ Implementado por diferentes entidades
http://microprofile.io/

MicroProfile JWT
MicroProfile 2.0
JAX-RS 2.1JSON-P 1.1CDI 2.0
Config 1.3
Fault
Tolerance
1.1
JWT
RBAC 1.1
Health
Check 1.0
Metrics 1.1
Open
Tracing 1.1
Open API
1.0
Rest Client
1.1
JSON-B 1.0
JWT
RBAC 1.1
https://microprofile.io/project/eclipse/microprofile-jwt-auth/
Estándares de Seguridad
● OAuth 2.0
● OpenID Connect
● JSON Web Tokens
(JWT)
Tecnologías Java
● JAX-RS
● CDI
● JSON-P.

Moviefun Diagrama de Despliegue
Gateway

Incluyendo Microprofile JWT en
una aplicación JAX-RS

● @LoginConfig
● web.xml login-config
element equivalent
package org.superbiz.moviefun.rest;
import org.eclipse.microprofile.auth.LoginConfig;
import javax.ws.rs.ApplicationPath;
import javax.ws.rs.core.Application;
@ApplicationPath("/rest")
@LoginConfig(authMethod = "MP-JWT")
public class ApplicationConfig extends Application {
// let the server discover the endpoints
}
ApplicationConfig.java

Mapeando MP-JWT Tokens con
Java EE Container APIs

● Injection of the currently
authenticated caller
● Injection of claims
@Path("movies")
@Produces({"application/json"})
@ApplicationScoped
public class MoviesResource {
@Inject
private JsonWebToken jwtPrincipal;
@Inject
@Claim("email")
private ClaimValue<String> email;
MoviesResource.java

Integración con
JAX-RS Container API

● securityContext.isUserInRole
● MP-JWT "groups" claim
● getUserPrincipal()
import javax.ws.rs.core.SecurityContext;
@Path("movies")
@Produces({"application/json"})
@ApplicationScoped
public class MoviesResource {
@Context
private SecurityContext securityContext;
@POST
@Consumes("application/json")
public Movie addMovie(Movie movie) {
if (!securityContext.isUserInRole("create")) {
throw new WebApplicationException("Bad permission.",
Response.Status.FORBIDDEN);
}
service.addMovie(movie);
return movie;
}
MoviesResource.java

● @RolesAllowed
● @PermitAll
● @DenyAll
● 2.9 - 2.12 JSR-250
@PUT
@Path("{id}")
@Consumes("application/json")
@RolesAllowed("update")
public Movie editMovie( @PathParam("id") final long id,
Movie movie) {
....
return movie;
}
@DELETE
@Path("{id}")
@RolesAllowed("delete")
public void deleteMovie(@PathParam("id") long id) {
....
service.deleteMovie(id);
}
MoviesResource.java

Public Key Configuration

@Produces
Optional<JWTAuthContextInfo> getOptionalContextInfo() throws Exception {
JWTAuthContextInfo contextInfo = new JWTAuthContextInfo();
contextInfo.setIssuedBy("/oauth2/token");
byte[] encodedBytes = TokenUtil.readPublicKey("/publicKey.pem").getEncoded();
final X509EncodedKeySpec spec = new X509EncodedKeySpec(encodedBytes);
final KeyFactory kf = KeyFactory.getInstance("RSA");
final RSAPublicKey pk = (RSAPublicKey) kf.generatePublic(spec);
contextInfo.setSignerKey(pk);
contextInfo.setExpGracePeriodSecs(10);
return Optional.of(contextInfo);
}
@Produces
JWTAuthContextInfo getContextInfo() throws Exception { return getOptionalContextInfo().get(); }
}
MoviesMPJWTConfigurationProvider.java

https://tribestream.io/javadayec/
Gracias
CONTACTANOS @TOMITRIBE

Seguridad en microservicios via micro profile jwt

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Seguridad en microservicios via micro profile jwt

Similar to Seguridad en microservicios via micro profile jwt (20)

More from César Hernández

More from César Hernández (20)

Recently uploaded

Recently uploaded (20)

Seguridad en microservicios via micro profile jwt