رموز الويب JSON Web Tokens كعناصر أساسية لأمان السحابة

تعود المسودة الأولى لرموز الويب JSON Web Tokens لأكثر من 10 سنوات (من ديسمبر 2010). تنص المسودة الأولى على ما يلي: "يُعرّف رمز الويب JSON Web Token (JWT) تنسيق رمز مميز يُمكنه ترميز المطالبات المُنقولة بين طرفين. تُرمَّز المطالبات في JWT ككائن JSON مُوقَّع رقميًا."

في أحدث إصدار له،  IETF RFC 7519، تم توسيعه ليشمل ما يلي: "تُعد JSON Web Token (JWT) وسيلة مدمجة وآمنة لعناوين URL لتمثيل المطالبات التي سيتم نقلها بين طرفين. تُرمز المطالبات في JWT ككائن JSON يُستخدم كحمولة لهيكل JSON Web Signature (JWS) أو كنص بسيط لهيكل JSON Web Encryption (JWE)، وبذلك يمكن توقيع المطالبات رقميًا أو حماية سلامتها باستخدام رمز مصادقة الرسائل (MAC) و/أو تشفيرها."

يشير الوصف الجديد إلى تمثيلين لـ JWT (غالبًا ما يتم نطقه "jot") — أي هيكل JSON Web Signature أو JSON Web Encryption. يُعرَف JWS في RFC 7515، JWE في RFC 7516. ثمة أيضًا بعض معايير الأمان الأخرى ذات الصلة المستندة إلى JSON، والتي تُعرف جميعًا من خلال مجموعة عمل تُسمى JOSE: توقيع وتشفير كائنات JSON.

OAuth 2.0 يُعد معيارًا صناعيًا للتفويض. من دون الخوض في التفاصيل، يوفر سير عمل للتفويض ومفاهيم أساسية، بما في ذلك ما يُعرف برمز الوصول ورمز التجديد. وليس من الضروري استخدامها، لكن JWTs تُستخدم عادة في الوقت الحالي. كما ذُكر، يتركز OAuth على التفويض، وقد أُسيء استخدامه أحيانًا للتعامل مع التحقق من الهوية أيضًا. ويضيف OpenID Connect هذه القطعة المفقودة إلى اللغز ويقدم مفهوم الهوية أو رمز الهوية المميز. يُمثّل رمز الهوية على شكل JWT.

مع هذه المعلومات التاريخية وبعض المعايير كأساس، كيف يمكننا معالجة JWT السابق وما المعلومات التي يتضمنها؟

يتكون JWT أعلاه من ثلاثة أجزاء، يفصل كل منها نقطة (‘.’):

1. الرأس:: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
2. الحمولة: eyJzdWIiOiIxMjM0NTY3ODkwQUJDIiwibmFtZSI6IkhlbnJpayBMb2VzZXIiLCJpYXQiOjE2MTExNDA0MDAsImV4cCI6MTYxMTIzNDU2N30
3. التوقيع:  _iVbBcypdse-9sjrxp9iOrGsXKBWrBB3mrHgBtukcfM

يتم تشفير كل من الرأس والحمولة  base64url، ولا يتم أخذ الحشو المحتمل في الحسبان، ويمكن فك تشفيرهما على النحو التالي:

henrik@home> base64 -d <<< eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
{"alg":"HS256","typ":"JWT"}

henrik@home> base64 -d <<< eyJzdWIiOiIxMjM0NTY3ODkwQUJDIiwibmFtZSI6IkhlbnJpayBMb2VzZXIiLCJpYXQiOjE2MTExNDA0MDAsImV4cCI6MTYxMTIzNDU2N30
{"sub":"1234567890ABC","name":"Henrik Loeser","iat":1611140400,"exp":1611234567}base64: invalid input

يحتوي الرأس على معلومات حول الخوارزمية المستخدمة — هنا، HS256 (HMAC) SHA256). تعتمد الحمولة على نوع الرمز (وصول/تجديد/هوية/…) وتتكوّن من المطالبات. يتم إدارة تلك الحقول المحددة سلفًا لرأس JOSE وحقول الحمولة الأخرى من خلال IANA. في المثال أعلاه، الحقول والمطالبات هي: الموضوع والاسم ووقت الإصدار، ووقت الانتهاء.

يتم حساب التوقيع عن طريق تطبيق الخوارزمية المحددة على دمج الرأس’.’ والحمولة، ثم تشفير النتيجة باستخدام Base64url بعد ذلك، تشكَل الأجزاء الثلاثة المفصولة بنقطة JWT. يتم تحديد تفاصيل كيفية اشتقاق التوقيع في RFC 7515.

يمكنك الوصول إلى JWT السابق في مصحح الأخطاء عبر الإنترنت هذا على JTW.io. أولاً، ستظهر رسالة “توقيع غير صالح” يمكنك حل المشكلة عن طريق استبدال السر الافتراضي المعروض بـ !!!my-really-big-256-bit-secret!!!.

نظرًا إلى أن IBM Cloud يقدم العديد من الخدمات في كتالوجه، ولأنه تطبيق إنترنت يحتوي على العديد من العناصر الخاصة به، فإنه يستخدم الرموز المميزة بشكل مكثف، بما في ذلك JWTs. ربما تكون قد استخدمت واجهة سطر أوامر  IBM Cloud (CLI) والأمرibmcloud iam oauth-tokens:

يعرض هذا الأمر رموز حاملي OAuth (رموز الوصول) للجلسة الحالية في CLI، والتي تم تنفيذها على شكل JWTs. يتم استخدام رموز إدارة الهوية والوصول (IAM) هذه للوصول إلى الخدمات السحابية الممكّنة من خلال إدارة الهوية والوصول (IAM). 

إذا كنت ترغب في دمج مستخدمين خارجيين في حسابك السحابي، فسيتم استخدام JWTs أيضًا. يتم تبادل رموز الهوية والمطالبات المضمّنة فيها لغرض المصادقة والتعرّف على هوية المستخدم. تستفيد العديد من الحلول من خدمة الأمان IBM Cloud App ID. إذ يساعد على التحقق من هوية المستخدمين وحماية الموارد. ويستفيد من معايير OAuth 2.0 وOpenID Connect المذكورة ومن ثَمَّ يتعامل مع رموز الوصول والمعرف والتحديث.

يُعد  watsonx Assistant  أحد خدماتي (وخدماتك) المفضلة لبناء chatbot. إذا كنت تريد تأمين محادثات الويب (أي حماية الرسائل المتبادلة بشكل أكبر والتحقق من أصل الرسالة)، فإن JWTs تأتي لإنقاذك.

بالطبع، ثمة العديد من الأمثلة الأخرى على كيفية استخدام JWTs لتبادل مطالبات (أمنية) بسهولة، ومن ثَمَّ تعزيز أمان الحلول السحابية.

تُعد JWTs وسيلة سهلة ومستقلة لتبادل المطالبات بين طرفين. إذ تُعد بنية بيانات موجودة في كل مكان، في السحابة والبيئات المحلية. نأمل أن يكون ما سبق مقدمة مفيدة أثارت اهتمامك (إن لم يكن لديك الاهتمام من قبل!).

إذا كنت ترغب في فحص JWTs والعبث بها بنفسك، فأوصِ بأداة عبر الإنترنت مثل https://jwt.io/ للبدء. إذا كنت متعمقًا في هذا المجال، فاستخدم مراقب الشبكة أو أدوات المطوّر في متصفحك للبحث عن JWTs. استمتع، ولا تنسَ الاطّلاع على برامج IBM Cloud التعليمية لدينا، بما في ذلك العديد من البرامج التعليمية المتعلقة بالأمان.

إذا كانت لديك تعليقات أو اقتراحات أو أسئلة بشأن هذا المنشور، فيُرجى التواصل معي على تويتر (@data_henrik) أو LinkedIn.