Pada tutorial ini kita akan mengenal tentang apa itu JWT dan juga belajar bagaimana cara kerja JWT dalam proses otentikasi API. Dilansir dari situs resminya, JWT adalah singkatan dari JSON Web Token yaitu sebuah JSON Object yang digunakan untuk aktifitas transfer informasi antar platform. JSON Web Token dapat berfungsi untuk sistem otentikasi dan
juga untuk pertukaran informasi. Token ini terdiri dari header, payload dan signature. Ketiga bagian ini terpisahkan oleh tanda titik -titik [.]. Cara kerja JWT seperti ini : Server akan melakukan generate token yang mensertifikasi identitas user, dan mengirimkannya ke klien. Klien akan mengirim token kembali ke server untuk setiap request ke API, sehingga Server side akan
bisa mengetahui asal dari request tersebut. Menggunakan Node.js Anda dapat menghasilkan bagian Algoritma yang khusus untuk signature adalah HMACSHA256 [JWT mendukung beberapa algoritma], kita akan membuat buffer dari object JSOB lalu kita
enkripsikan hasilnya dengan menggunakan Base64. Hasil dari kode diatas adalah Selanjutnya kita menambahkan payload, yang dapat kita sesuaikan dengan jenis data apapun. Anda dapat menambahkan data Anda sendiri ke dalam token dengan menggunakan contoh objek berikut ini: Selanjutnya kita membuat buffer dari object payload sebelumnya yang sudah kita encode menjadi JSON object dan di enkripsikan menggunakan Base64 seperti yang kita lakukan sebelumnya pada bagian
header: Hasil dari kode diatas adalah Setelah selesai membuat header dan payload, kita harus memastikan bahwa isi token tidak dapat di ubah. Untuk melakukan ini, kita harus membuat signature dengan menggunakan modul Node Crypto: Kita menggunakan secret key rahasia lalu yang enkripsikan dengan menggunakan Base64 dari signature terenkripsi. Nilai tanda tangan dalam kasus kami adalah Sekarang, kita hanya perlu menggabungkan 3 bagian
token yaitu Maka, hasilnya adalah sebagai berikut.Bagaimana Cara Kerja JWT ?
Bagaimana token JWT terbentuk?
header
dari token dengan menggunakan kode ini:const header = { "alg": "HS256", "typ": "JWT" }
const encodedHeader = Buffer.from[JSON.stringify[header]].toString['base64']
eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9
.const payload = { username: 'RuangKoding' }
const encodedPayload = Buffer.from[JSON.stringify[payload]].toString['base64']
eyj1c2vybmftzsi6ikzsyxzpbyj9
.const crypto = require['crypto']
const jwtSecret = 'secretKey'
const signature = crypto.createHmac['sha256', jwtSecret]
.update[encodedHeader + '.' + encodedPayload]
.digest['base64']
Mqwecywut7bayj8mivgsj8kdyi3zrvs+wrrzjfzrgrw=
header
, payload
, dan signature
dengan memisahkannya dengan tanda titik [.] seperti pada kode berikut :const jwt = `${encodedHeader}.${encodedPayload}.${signature}`
eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyj1c2vybmftzsi6ikzsyxzpbyj9.Mqwecywut7bayj8mivgsj8kdyi3zrvs+wrrzjfzrgrw=
Apakah JWT aman?
Penting untuk dicatat bahwa JSON Web Token menjamin kepemilikan data tetapi tidak dengan keamanan enkripsi. Siapapun yang mencegat token dapat melihat Data JSON yang Anda simpan ke dalam token karena data token tersebut hanya berbentuk serialized dan tidak terenkripsi.
Untuk alasan ini, Ruang Koding sangat menyarankan Anda untuk menggunakan HTTPS dengan JWTS jika Anda berencana untu menggunakan JWT untuk session token dalam keperluan otentikasi.
Tutorial Login dan Register Menggunakan JWT pada NodeJS
Ketika kita login dari sebuah website, kita tidak semata mata menyerahkan username atau password kepada database atau website yang kita masukkin. Namun semua proses tersebut harus diamankan melalui sebuah enkripsi.
Salah satu tool yang memungkinkan kita sebagai programmer bisa memberika enkripsi yang aman ketika user memasukkan account-nya adalah JWT
Apa Itu JWT?
JWT [JSON Web Token] adalah sebuah tool yang berfungsi untuk memberikan token token, kode kode enkripsi unik ketika data dimasukkan atau dibutuhkan.
Kode kode ini unik dan hanya diketahui oleh tool yang dimiliki JSON yang biasa disebut decryptor
Proses authentication oleh user sangatlah penting diamankan agar website aman dari segala serangan hacker
Kalian bisa membaca cara kerja JWT secara lengkap disini
Baca Juga: Cara Kerja JWT. Semua Programmer Harus Tahu!
Cara Kerja JWT Pada NodeJS
Setelah kita faham bagaimana JWT token bekerja maka kita harus menerapkannya pada aplikasi yang kita bangun. Terkadang setiap programmer memiliki bahasa pemogramannya masing masing sehingga dari segi syntax penggunaan JWT relatif berbeda
Namun tenang saja, kalian bisa membaca tutorial lengkap dan dokumentasinya pada situs resmi JWT sedangkan pada postingan kali ini saya akan membahas penggunaan JWT token lewat bahasa pemograman NodeJS
Kali ini kita akan memanfaatkan JWT token untuk mengamankan login oleh user
Langkah Langkah
Pertama, install JWT
Ingat!, perhatikan versi JWT yang kalian instal, saya menggunakan JWT versi 8.5.1. Hal ini harus dilakukan supaya meminimalisir error yang terjadi. Terkadang versi satu dengan yang lainnya memiliki perbedaan yang jauh mulai dari segi struktur atau syntax yang barang kali sudah deprecated
Baca Juga: Hindari Error Ketika Ngoding Dengan Mencoba Cara Cara Berikut
Lakukan hal tersebut dengan memasukkan perintah berikut di command prompt kalian
npm i
Kedua, buat env variable menggunakan dotenv dan file config. Dengan cara membuat file ,env dan config/index.js
.env
SECRET=SECRET
- kalian bisa mengisi SECRET= dengan apapun. Misal, SECRET=RAHASIA_BANGET, dsb
sedangkan file /config/index.js berisi kode berikut
const dotenv = require["dotenv"];
const path = require["path"];
dotenv.config[];
module.exports = {
jwtKey: process.env.SECRET,
};
Ketiga, berikan token menggunakan jwt.sign[] yang berisi data apa saja yang ingin dimanfaatkan.
Dalam case ini kita akan mengamankan data username, email, name, id, phoneNumber, avatar
Keempat, buat middleware untuk memberikan token dan mengverifikasi token ketika ada token yang diterima
Beberapa hal yang harus difahami dari codingan diatas
- Ketika request diterima, kita harus menghilangkan "Bearer " karena secara default ini dikirimkan melalui browser/Postman kita. Setelah itu kita verifikasi dengan jwt.verify dimana token yang diberikan harus sama persis dengan decryptor yang kita berikan di dalam file env
Setelah itu kita letakkan sebagai middleware di dalam file router.js
Dengan cara menambahkannya diantara url/route yang diinginkan dan controller
Setelah itu kita masukkan url tersebut di dalam Postman
Dan akhirnya kita mendapatkan token yang diinginkan. Ini akan pengaman atau verifikasi ketika seorang user memasukkan username dan passwordnya. Sehingga tidak ada user yang bisa masuk kedalam sebuah website melalui Cross Site Scripting
Kesimpulan
Itu dia cara kita mengamankan login atau authentication melalui JSON.
Dimulai dari memasukkan variabel loka di dalam sourcecode kita, memberikan token dan mencocokannya
Jika kamu punya pertanyaan ajukan di kolom komentar yaa