Definice JWT - záložka Detail

Záložka zobrazí detailní informace o aktuální JWT definici ze záložky Seznam. Položky zadávané ke každému záznamu jsou standardně rozděleny do subzáložek dle svého významu:

Obsažené subzáložky: Hlavní údaje Formuláře

V horní části záložky Detail může být variantně zobrazen některý z Panelů definovatelných údajů detailu pro tuto agendu. Zobrazení panelu definovatelných údajů detailu závisí na aktuálním nastavení v menu Nastavení pro danou agendu a přihlášeného uživatele.

Subzáložka Hlavní údaje

V subzáložce jsou k dispozici následující položky:

Název Popis
Uživatelský kód

Uživatelský kód umožňuje jednoznačně identifikovat konkrétní definici JWT pro použití v API. Kód má maximální délku 10 znaků a nahrazuje původní interní ID definice při komunikaci s API. Jeho hodnota musí být unikátní, pokud není prázdná

Prázdná hodnota je povolena, ale doporučujeme pole vyplnit.

Endpoint /currentuser/logintoken nově používá parametr jwtsettingcode místo původního jwtsetting_id. Tento parametr obsahuje uživatelský kód definice.

  • Pokud neexistuje žádná definice typu Přihlášení do API, API vrací chybu: "Je potřeba založit alespoň jednu definici typu Přihlášení do API."
  • Pokud existuje právě jedna definice typu Přihlášení do API, API ji použije a vrátí token.
  • Pokud existuje více definic, API vrací chybu: "Není jednoznačně určena definice."
  • Pokud definice s daným kódem neexistuje, API vrací chybu: "Definice s uvedeným kódem neexistuje."
  • Pokud definice existuje, API ji použije.
Oblast

Oblast umožňuje specifikovat způsob přihlašování do API. K dispozici jsou tyto možnosti:

  • Přihlášení do API
    • Tato oblast je určena pro generování tokenů, které následně slouží k autentizaci při přihlašování do API.
    • Tokeny vytvořené v této oblasti jsou interně spravovány a jejich použití je omezeno na vlastní systém API.
  • Externí přihlášení do API
    • Tato oblast umožňuje autentizaci pomocí tokenů, které byly vygenerovány externí autoritou (např. jiným poskytovatelem identity).
    • Při použití této oblasti je uživatel identifikován pomocí e-mailové adresy uvedené v poli Položka s e-mailem.
    • Přihlášení selže, pokud je e-mail neunikátní mezi uživateli v systému.
Položka s e-mailem

Tato položka slouží k identifikaci přihlašovaného uživatele dle emailové adresy (viz Externí přihlášení do API). Výchozí hodnota je 'email'.
Algoritmus

Pole Algoritmus definuje kryptografický algoritmus, kterým je podepsaný token. Toto pole je povinné a umožňuje zvolit jeden z podporovaných algoritmů:

  • HMAC: Symetrický algoritmus využívající sdílený klíč.
  • RSA: Asymetrický algoritmus s doporučením používat klíče o délce minimálně 2048 bitů.
  • Ekliptické křivky (Elliptic Curves): Moderní asymetrický algoritmus s efektivnější správou klíčů.

Pro vyšší úroveň zabezpečení se doporučuje používat varianty algoritmu RSA s klíčem dlouhým minimálně 2048 bitů.

Při ověřování tokenu validace zahrnuje:

  • Ověření podpisu podle zvoleného algoritmu.
  • Kontrolu shody následujících atributů tokenu s definicí:
    • Vydavatel (issuer)
    • Audience (příjemce)
    • Datum expirace
    • Povolení k přihlašování

Pro asymetrické šifry (RSA, ekliptické křivky) je nutné zadávat klíče ve formátu PEM. Příklad veřejného klíče:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6lsRee07cvY//50/+wWM46JuSRmXRjK4aaOSCZmAQpblnegfr69//EH/lctyeyj1sPouiYhNJpYltcfEIRwS90a54M7XPHyjlVKEE3MGJGY7oUlkwIP+uLuHJ+b602bGj7fVFhgJ/+4GJRIMzUtoOmcchNjjbEGyEfawYINu9yRZpjdMNZH1z7K/0NLvsfm3YQupVFMxg6oXmqRWkU/y8Z6k2s9dV62lQA5VvzhKVfRI55rd2X0BwITVctliaXHTHaioczzRLLowQMA/w+EOB7gZJeXeG8MirIn3rhnjkVqusCXV5SwI2tQPM2JxOMU0H/HK0bRlo97HZqWHqEU/hwIDAQAB
-----END PUBLIC KEY-----

Privátní klíč 2048 bitů: 

openssl genrsa -out rsa.private 2048

Veřejný klíč: 

openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM

Podporované algoritmy RSA: RS256, RS384, RS512

ES256: 

openssl ecparam -genkey -name prime256v1 -noout -out ec256.private.pem
openssl ec -in ec256.private.pem -pubout -out ec256.public.pem

ES384: 

openssl ecparam -genkey -name secp384r1 -noout -out ec384.private.pem
openssl ec -in ec384.private.pem -pubout -out ec384.public.pem

ES512: 

openssl ecparam -genkey -name secp384r1 -noout -out ec512.private.pem
openssl ec -in ec512.private.pem -pubout -out ec512.public.pem
Audience

Položka Audience je součástí JWT specifikace a slouží k identifikaci zamýšlených příjemců, pro které byl token vystaven. Audience definuje účel tokenu a umožňuje kontrolu, zda token zpracovává oprávněný příjemce.

V systému ABRA Gen je pole Audience implementováno s ohledem na flexibilitu definovanou v RFC 7519 (JSON Web Token). To znamená, že hodnota Audience může být nepovinná, a pokud není vyplněna, systém při validaci JWT tokenu tuto hodnotu neověřuje. Tato funkčnost umožňuje použití externích JWT tokenů, které nemusí obsahovat pole Audience.

I když je pole Audience nepovinné, doporučuje se jej vyplnit v případech, kdy je třeba jednoznačně odlišit účel konkrétního JWT tokenu. To může být užitečné zejména při více konfiguracích Nastavení JWT.

Hodnota Audience identifikuje účel, pro který byl JWT token vystaven. Například při přihlašování do API může mít pole Audience hodnotu api. Pokud je definováno více konfigurací v agendě Nastavení JWT, je vhodné pomocí pole Audience rozlišit jejich účel. Hodnota Audience může být libovolný text odpovídající formátu StringOrURI, a její vyplnění není povinné.

Pokud pole Audience obsahuje hodnotu, systém při validaci JWT tokenu kontroluje, zda hodnota Audience v tokenu odpovídá hodnotě zadané v konfiguraci Nastavení JWT. Při použití externího JWT tokenu je nutné zajistit, že hodnota Audience v tokenu odpovídá hodnotě zadané v tomto poli, jinak validace tokenu selže.

Pokud je pole Audience nevyplněné, systém validaci tohoto claimu při kontrole JWT tokenu vynechává. Tato konfigurace umožňuje podporu tokenů, které pole Audience neobsahují, například při použití externích tokenů bez této informace.
Vydavatel Řetězec, který identifikuje stranu, která tento token vytvořila a vydala. Předvyplňuje se Obchodním jménem firmy licence.
Soukromý klíč

Klíč, pomocí kterého se algoritmem H256 podepisují JSON Web tokeny. Podepsaný token je možné ověřit pouze pomocí stejného tajného klíče. Pokud někdo změní jakoukoli část tokenu (hlavičku nebo tělo), podpis již nebude platný, pokud se znovu nevytvoří pomocí stejného tajného klíče.

Vezměte prosím na vědomí, že podpisování tokenu nešifruje jeho obsah. Obsah tokenu (hlavička a tělo) je kódován pomocí Base64Url, což je způsob kódování, nikoli šifrování. To znamená, že pokud má někdo přístup k tokenu, může dekódovat jeho obsah a zobrazit data uvnitř. Ale nemůže změnit tato data bez invalidace podpisu.
Veřejný klíč

Veřejný klíč v JSON Web Token (JWT) je součástí asymetrického šifrování, které se používá k ověření podpisu tokenu. JWT může být podepsán pomocí soukromého klíče a ověřen pomocí odpovídajícího veřejného klíče. Tento proces zajišťuje, že token nebyl změněn a že pochází z důvěryhodného zdroje.

Automaticky dochází nejen k prvnímu stažení klíče, ale i k opakovanému stažení, když vyprší platnost a dojde k výměně klíčů u poskytovatele.
Povolit přihlášení Parametr, zda bude daná JWT definice globálně funkční.
Doba platnosti JWT pro přihlášení (minuty)

Doba v minutách, po kterou je možné použít čerstvě vygenerovaný JSON Web token k přihlášení. Výchozí hodnota je 60 minut.

Doba platnosti JWT pro přihlášení a Doba platnosti JWT pro obnovení tokenů je porovnávána s cca 2 min tolerancí z důvodu možného drobného rozdílu času mezi klientem a serverem. Např. token, který expiruje 23.1.2025 15:56:13 je platný naposledy v 23.1.2025 15:58:13 serverového času. Po použití obnovovacího tokenu je vygenerován nový pár přihlašovací a obnovovací token. Platnost původního páru se nadále řídí jejich platností. Přihlašovací token nelze nijak zpětně revokovat, počítá se s nastavením krátké doby expirace v řádu minut. Obnovovací token má obvykle platnost v řádu hodin, lze jej revokovat na uživateli nastavením položky Platnost od obnovovacího tokenu. Zde se zadá datum a čas, které následně uživateli zamezí použít obnovovací tokeny vydané před tímto datem.
Povolit obnovení přihlášení

Pokud je parametr povolen, pak se kromě přístupového JSON Web tokenu vygeneruje i tzv. obnovovací JSON Web token, který je možné použít k opětovnému vystavení nového přístupového i obnovovacího JSON Web tokenu.
Doba platnosti JWT pro obnovení (minuty)

Doba v minutách, po kterou je možné použít obnovovací JSON Web token. Výchozí hodnota je jeden týden. Viz také položka Platnost od obnovovacího JWT Tokenu.

Doba platnosti JWT pro přihlášení a Doba platnosti JWT pro obnovení tokenů je porovnávána s cca 2 min tolerancí z důvodu možného drobného rozdílu času mezi klientem a serverem. Např. token, který expiruje 23.1.2025 15:56:13 je platný naposledy v 23.1.2025 15:58:13 serverového času. Po použití obnovovacího tokenu je vygenerován nový pár přihlašovací a obnovovací token. Platnost původního páru se nadále řídí jejich platností. Přihlašovací token nelze nijak zpětně revokovat, počítá se s nastavením krátké doby expirace v řádu minut. Obnovovací token má obvykle platnost v řádu hodin, lze jej revokovat na uživateli nastavením položky Platnost od obnovovacího tokenu. Zde se zadá datum a čas, které následně uživateli zamezí použít obnovovací tokeny vydané před tímto datem.
URL pro získání veřejného klíče

Do tohoto pole se zadává URL, která vrací seznam veřejných klíčů k danému účtu ve formátu JWKS (JSON Web Key Set). Pokud je toto pole vyplněné, není povinné vyplňovat pole Veřejný klíč.

Příklady URL pro stahování veřejného klíče:

Microsoft Entra ID: https://login.microsoftonline.com/ef4ada76-269d-45d5-bd82-be0b4fe525a3/discovery/v2.0/keys

auth0.com: https://dev-usr67161jl8v2obw.eu.auth0.com/.well-known/jwks.json

Subzáložka Formuláře

Subzáložka je k dispozici pouze, je-li v menu Nastavení aktuálně zatržena volba pro zobrazení uživatelských formulářů. Umožňuje vybírat si z nadefinovaných uživatelských vstupních formulářů a zobrazovat a zadávat si skrz ně potom jednotlivé údaje.

Pravidla pro použití této záložky jsou pro všechny agendy, ve kterých se může vyskytnout, společná a byla podrobně popsána v kap. Záložka Formuláře - obecně.

Zobrazení seznamu v Detailu

V některé části této záložky může být zobrazen Seznam (Panel pro zobrazení seznamu na jiných záložkách), tedy záznamy ze záložky seznam (podrobněji viz Společné prvky v číselnících - záložka Detail).

Zobrazení seznamu závisí na aktuálním nastavení v menu Nastavení pro danou agendu a přihlášeného uživatele.

Funkce v této subzáložce:

V editačním režimu jsou k dispozici funkce pro aktualizaci obsahu subzáložky.

Název Kl. Doplňující popis:
Generovat tajný klíč -

Funkce umožní vygenerovat náhodný Tajný klíč, který slouží k podepisování JSON Web Tokenů.

Opravy:

Opravovat lze všechny položky bez omezení. Mimo položky Oblast, která se vyplní automaticky.

Zobrazení seznamu v Detailu

V některé části této záložky může být zobrazen Seznam (Panel pro zobrazení seznamu na jiných záložkách), tedy záznamy ze záložky seznam (podrobněji viz Společné prvky v číselnících - záložka Detail).

Zobrazení seznamu závisí na aktuálním nastavení v menu Nastavení pro danou agendu a přihlášeného uživatele.

Funkce k záložce Detail:

Podmnožina funkcí ze záložky Seznam.

V editačním režimu platí zásady platné pro editaci záznamů v číselnících. K dispozici jsou standardní funkce pro režim editace.