Aplicando seguridad a una API REST con JSON Web Tokens

Abstract

La finalidad de este trabajo es poder presentar algunos ejemplos de configuración de seguridad utilizando JWT en las API REST que son publicadas a internet. Para ello se ha implementado en una fase inicial una prueba de concepto de la creación de una API REST codificada en JavaScript y desplegada en Node.js. En esta primera fase del proyecto los tokens JWT son firmados de forma simétrica (palabra secreta) en donde luego se ha ido incrementando la seguridad añadiendo claves asimétricas para obtener tokens más robustos. En una segunda fase de implementación seguiremos mejorando la infraestructura añadiendo Kong como API Gateway que permite una nueva capa de abstracción a la API creada en la fase anterior. Además, Kong en su versión community nos ofrece una serie de plugins que enriquecen las diferentes gestiones para las API. Finalmente, para facilitar el trabajo de gestionar diferentes API se ha instalado la herramienta Konga (dashboard) que es el complemento perfecto para una gestión de forma gráfica y cómoda para Kong.

The purpose of this work is to be able to present some examples of security configuration using JWT in the REST API that are published on the Internet. For this, a proof of concept has been implemented in the initial phase of the creation of a REST API development in JavaScript and deployed in Node.js. In this first phase of the project, the JWT tokens are signed symmetrically (secret key), where security has been increased later by adding asymmetric keys to obtain more robust tokens. In a second implementation phase, we continue to improve the infrastructure adding Kong as an API Gateway that allows a new abstraction layer to the API created in the previous phase. In addition, Kong in its community version offers us a series of plugins that enrich the different procedures for the APIs. Finally, to facilitate the work of managing different API, the Konga tool (dashboard) has been installed, which is the perfect complement for graphical and comfortable management for Kong.

La finalitat d'aquest treball és poder presentar alguns exemples de configuració de seguretat utilitzant JWT a les API REST que són publicades a internet. Per a això s'ha implementat en una fase inicial una prova de concepte de la creació d'una API REST codificada en JavaScript i desplegada a Node.js. En aquesta primera fase de el projecte dels tokens JWT són signats de forma simètrica (paraula secreta) en on després s'ha anat incrementant la seguretat afegint claus asimètriques per obtenir tokens més robustos. En una segona fase d'implementació seguirem millorant la infraestructura afegint Kong com API inici que permet una nova capa d'abstracció a l'API creada en la fase anterior. A més, Kong en la seva versió community ens ofereix una sèrie de connectors que enriqueixen les diferents gestions per a les API. Finalment, per facilitar el treball de gestionar diferents API s'ha instal·lat l'eina Konga (dashboard) que és el complement perfecte per a una gestió de forma gràfica i còmoda per Kong.