Definícia JWT - záložka Detail

Záložka zobrazí detailní informace o aktuální JWT definici ze záložky Seznam. Položky zadávané ku každému záznamu sú štandardne rozdelené do subzáložiek podľa svojho významu:

Obsiahnuté subzáložky: Hlavné údaje Formuláre

V hornej časti záložky Detail môže byť variantne zobrazený niektorý z Panelov definovateľných údajov detailu pre túto agendu. Zobrazenie panela definovateľných údajov detailu závisí od aktuálneho nastavenia v menu Nastavenie pre danú agendu a prihláseného užívateľa.

Subzáložka Hlavné údaje

V subzáložke sú k dispozícii nasledujúce položky:

Názov Popis
Užívateľský kód

Uživatelský kód umožňuje jednoznačně identifikovat konkrétní definici JWT pro použití v API. Kód má maximální délku 10 znaků a nahrazuje původní interní ID definice při komunikaci s API. Jeho hodnota musí být unikátní, pokud není prázdná

Prázdná hodnota je povolena, ale doporučujeme pole vyplnit.

Endpoint /currentuser/logintoken nově používá parametr jwtsettingcode místo původního jwtsetting_id. Tento parametr obsahuje uživatelský kód definice.

  • Pokud neexistuje žádná definice typu Přihlášení do API, API vrací chybu: "Je potřeba založit alespoň jednu definici typu Přihlášení do API."
  • Pokud existuje právě jedna definice typu Přihlášení do API, API ji použije a vrátí token.
  • Pokud existuje více definic, API vrací chybu: "Není jednoznačně určena definice."
  • Pokud definice s daným kódem neexistuje, API vrací chybu: "Definice s uvedeným kódem neexistuje."
  • Pokud definice existuje, API ji použije.
Oblasť

Oblast umožňuje specifikovat způsob přihlašování do API. K dispozícii sú tieto možnosti:

  • Prihlásenie do API
    • Tato oblast je určena pro generování tokenů, které následně slouží k autentizaci při přihlašování do API.
    • Tokeny vytvořené v této oblasti jsou interně spravovány a jejich použití je omezeno na vlastní systém API.
  • Externé prihlásenie do API
    • Tato oblast umožňuje autentizaci pomocí tokenů, které byly vygenerovány externí autoritou (např. jiným poskytovatelem identity).
    • Při použití této oblasti je uživatel identifikován pomocí e-mailové adresy uvedené v poli Položka s e-mailem.
    • Přihlášení selže, pokud je e-mail neunikátní mezi uživateli v systému.
Položka s e-mailom

Tato položka slouží k identifikaci přihlašovaného uživatele dle emailové adresy (viz Externí přihlášení do API). Výchozí hodnota je 'email'.
Algoritmus

Pole Algoritmus definuje kryptografický algoritmus, kterým je podepsaný token. Toto pole je povinné a umožňuje zvolit jeden z podporovaných algoritmů:

  • HMAC: Symetrický algoritmus využívající sdílený klíč.
  • RSA: Asymetrický algoritmus s doporučením používat klíče o délce minimálně 2048 bitů.
  • Ekliptické křivky (Elliptic Curves): Moderní asymetrický algoritmus s efektivnější správou klíčů.

Pro vyšší úroveň zabezpečení se doporučuje používat varianty algoritmu RSA s klíčem dlouhým minimálně 2048 bitů.

Při ověřování tokenu validace zahrnuje:

  • Ověření podpisu podle zvoleného algoritmu.
  • Kontrolu shody následujících atributů tokenu s definicí:
    • Vydavatel (issuer)
    • Audience (příjemce)
    • Dátum expirácie
    • Povolení k přihlašování

Pro asymetrické šifry (RSA, ekliptické křivky) je nutné zadávat klíče ve formátu PEM. Příklad veřejného klíče:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6lsRee07cvY//50/+wWM46JuSRmXRjK4aaOSCZmAQpblnegfr69//EH/lctyeyj1sPouiYhNJpYltcfEIRwS90a54M7XPHyjlVKEE3MGJGY7oUlkwIP+uLuHJ+b602bGj7fVFhgJ/+4GJRIMzUtoOmcchNjjbEGyEfawYINu9yRZpjdMNZH1z7K/0NLvsfm3YQupVFMxg6oXmqRWkU/y8Z6k2s9dV62lQA5VvzhKVfRI55rd2X0BwITVctliaXHTHaioczzRLLowQMA/w+EOB7gZJeXeG8MirIn3rhnjkVqusCXV5SwI2tQPM2JxOMU0H/HK0bRlo97HZqWHqEU/hwIDAQAB
-----END PUBLIC KEY-----

Privátní klíč 2048 bitů: 

openssl genrsa -out rsa.private 2048

Verejný kľúč: 

openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM

Podporované algoritmy RSA: RS256, RS384, RS512

ES256: 

openssl ecparam -genkey -name prime256v1 -noout -out ec256.private.pem
openssl ec -in ec256.private.pem -pubout -out ec256.public.pem

ES384: 

openssl ecparam -genkey -name secp384r1 -noout -out ec384.private.pem
openssl ec -in ec384.private.pem -pubout -out ec384.public.pem

ES512: 

openssl ecparam -genkey -name secp384r1 -noout -out ec512.private.pem
openssl ec -in ec512.private.pem -pubout -out ec512.public.pem
Audiencia

Položka Audience je součástí JWT specifikace a slouží k identifikaci zamýšlených příjemců, pro které byl token vystaven. Audience definuje účel tokenu a umožňuje kontrolu, zda token zpracovává oprávněný příjemce.

V systému ABRA Gen je pole Audience implementováno s ohledem na flexibilitu definovanou v RFC 7519 (JSON Web Token). To znamená, že hodnota Audience může být nepovinná, a pokud není vyplněna, systém při validaci JWT tokenu tuto hodnotu neověřuje. Tato funkčnost umožňuje použití externích JWT tokenů, které nemusí obsahovat pole Audience.

I když je pole Audience nepovinné, doporučuje se jej vyplnit v případech, kdy je třeba jednoznačně odlišit účel konkrétního JWT tokenu. To může být užitečné zejména při více konfiguracích Nastavení JWT.

Hodnota Audience identifikuje účel, pro který byl JWT token vystaven. Například při přihlašování do API může mít pole Audience hodnotu api. Pokud je definováno více konfigurací v agendě Nastavení JWT, je vhodné pomocí pole Audience rozlišit jejich účel. Hodnota Audience může být libovolný text odpovídající formátu StringOrURI, a její vyplnění není povinné.

Pokud pole Audience obsahuje hodnotu, systém při validaci JWT tokenu kontroluje, zda hodnota Audience v tokenu odpovídá hodnotě zadané v konfiguraci Nastavení JWT. Při použití externího JWT tokenu je nutné zajistit, že hodnota Audience v tokenu odpovídá hodnotě zadané v tomto poli, jinak validace tokenu selže.

Pokud je pole Audience nevyplněné, systém validaci tohoto claimu při kontrole JWT tokenu vynechává. Tato konfigurace umožňuje podporu tokenů, které pole Audience neobsahují, například při použití externích tokenů bez této informace.
Vydávateľ Řetězec, který identifikuje stranu, která tento token vytvořila a vydala. Předvyplňuje se Obchodním jménem firmy licence.
Súkromný kľúč

Klíč, pomocí kterého se algoritmem H256 podepisují JSON Web tokeny. Podepsaný token je možné ověřit pouze pomocí stejného tajného klíče. Pokud někdo změní jakoukoli část tokenu (hlavičku nebo tělo), podpis již nebude platný, pokud se znovu nevytvoří pomocí stejného tajného klíče.

Vezměte prosím na vědomí, že podpisování tokenu nešifruje jeho obsah. Obsah tokenu (hlavička a tělo) je kódován pomocí Base64Url, což je způsob kódování, nikoli šifrování. To znamená, že pokud má někdo přístup k tokenu, může dekódovat jeho obsah a zobrazit data uvnitř. Ale nemůže změnit tato data bez invalidace podpisu.
Povoliť prihlásenie Parametr, zda bude daná JWT definice globálně funkční.
Doba platnosti JWT pre prihlásenie (minúty) Doba v minutách, po kterou je možné použít čerstvě vygenerovaný JSON Web token k přihlášení. Výchozí hodnota je 60 minut.
Povoliť obnovenie prihlásenia

Pokud je parametr povolen, pak se kromě přístupového JSON Web tokenu vygeneruje i tzv. obnovovací JSON Web token, který je možné použít k opětovnému vystavení nového přístupového i obnovovacího JSON Web tokenu.
Doba platnosti JWT pre obnovenie (minúty)

Doba v minutách, po kterou je možné použít obnovovací JSON Web token. Výchozí hodnota je jeden týden. Viz také položka Platnost od obnovovacího JWT Tokenu.

Subzáložka Formuláre

Subzáložka je k dispozícii iba, ak je v menu Nastavenie aktuálne začiarknutá voľba na zobrazenie užívateľských formulárov. Umožňuje vyberať si z nadefinovaných užívateľských vstupných formulárov a zobrazovať a zadávať si prostredníctvom nich potom jednotlivé údaje.

Pravidlá použitia tejto záložky sú pre všetky agendy, v ktorých sa môže vyskytnúť, spoločné a boli podrobne popísané v kap. Záložka Formuláre - všeobecne.

Zobrazenie zoznamu v Detaile

V niektorej časti tejto záložky môže byť zobrazený Zoznam (Panel na zobrazenie zoznamu na iných záložkách), teda záznamy zo záložky zoznam (podrobnejšie viď Spoločné prvky v číselníkoch - záložka Detail).

Zobrazenie zoznamu závisí od aktuálneho nastavenia v menu Nastavenie pre danú agendu a prihláseného užívateľa.

Funkcie v tejto subzáložke:

V editačnom režime sú k dispozícii funkcie na aktualizáciu obsahu subzáložky.

Názov Kl. Doplňujúci popis:
Generovať tajný kľúč -

Funkce umožní vygenerovat náhodný Tajný klíč, který slouží k podepisování JSON Web Tokenů.

Opravy:

Opravovať možno všetky položky bez obmedzenia. Mimo položky Oblast, která se vyplní automaticky.

Zobrazenie zoznamu v Detaile

V niektorej časti tejto záložky môže byť zobrazený Zoznam (Panel na zobrazenie zoznamu na iných záložkách), teda záznamy zo záložky zoznam (podrobnejšie viď Spoločné prvky v číselníkoch - záložka Detail).

Zobrazenie zoznamu závisí od aktuálneho nastavenia v menu Nastavenie pre danú agendu a prihláseného užívateľa.

Funkcia k záložke Detail:

Podmnožina funkcií zo záložky Zoznam.

V editačnom režime platia zásady platné pre editáciu záznamov v číselníkoch. K dispozícii sú štandardné funkcie pre režim editácie.