Slides zum Vortrag https://entwicklertag.de/karlsruhe/2016/token-statt-cookies Im Zeitalter von Microservices und Applikationen, die sich aus vielen verteilten Komponenten zusammensetzen und CSRF und CORS Aspekte abdecken müssen sind Session-Cookies nicht mehr praktikabel. Token versprechen die heilvolle Alternative zu sein und mit JWT (JSON Web Token) liegt der Entwurf für einen Standard vor, der die Verwendung von Tokens innerhalb einer Applikationslandschaft vereinfachen soll. Der Talk zeigt, ob Tokens ihr versprechen halten und Webapplikationen auch ohne Kekse ein Genuss bleiben.

1. … dank JWT
Token statt Cookies

2. Markus Schlichting
Senior Software Engineer
Basel, Schweiz
Hackergarten Basel
markus.schlichting@canoo.com
@madmas

3. Warum?
• REST APIs
• Single Page Applications
• Microservices

4. Sessions & Cookies
Credentials validieren,
Session erzeugen
Session Cookie
Session
Store
Session validieren,
Zugriff kontrollieren
http://app.canoo.com http://app.canoo.com

5. Sessions & Cookies
Loadbalancing benötigt geteilten Sessionpool
Services werden gekoppelt
Cross Domain Authentifizierung: CORS
CSRF Verwundbarkeit
Andere Clients ausser Browser?

6. JSON Web Tokens are an open, industry
standard method for representing claims
securely between two parties.
(RFC 7519)
JSON Web Token
The suggested pronunciation of JWT
is the same as the English word "jot".

7. JSON Web Token
basierend auf anderen JSON-Standards:
JWS (JSON Web Signature)
JWE (JSON Web Encryption)
!!!
Bibliotheken für..

8. JWT in Action
Credentials validieren,
Token erzeugen
Token speichern
Token validieren,
Zugriff kontrollieren
http://app.canoo.com http://api.canoo.com

9. JWT - inside
jwt.io

10. JWT - inside: Payload
Registered Claims IANA JSON WebToken Register
Public Claims öffentl. lesbare Claims: Eindeutigkeit!
Private Claims private Claims: Freie Wahl!

11. JWT - in practice
Demo!

12. immer verschlüsselt kommunizieren ( HTTPS! )
URL Token vermeiden
https://yourpage.de/service/action?token=jwt.goes.here
Token Handling: Invalidation, Reset
JWT Security Aspekte

13. JWT Überblick
basiert auf JSON
einfach zu nutzen, einfach zu implementieren
symmetrische und asymmetrische Crypto
reduziert Abhängigkeiten
Basisprinzip von REST: State transfer

14. Cookies nicht obsolet, Token bieten jedoch viele Vorteile
JWT für Skalierbarkeit und Flexibilität
Cross Plattform
Cookies oder Token?
Anforderungen und Implikationen abwägen!
Zusammenfassung

15. Demo Sources und Slides:
https://github.com/madmas/TokenVsCookies