Nos posts anteriores, desenvolvemos um projeto sobre eventos no Rails. Agora, queremos adicionar uma camada de segurança: apenas usuários autenticados devem ter acesso aos detalhes dos eventos. Para isso, vamos implementar um sistema de login usando o Devise - uma solução flexível e amplamente utilizada para autenticação em Rails - em conjunto com a gem JWT. Embora o Devise possa ser substituído por outras abordagens, sua integração com o JWT oferece uma solução robusta e eficiente para nossas necessidades de autenticação.

Por que usar JWT?

A utilização do JWT oferece várias vantagens, especialmente em aplicações web modernas. Ele é leve e fácil de usar, facilitando a integração entre diferentes serviços e plataformas. Além disso, o JWT proporciona um alto nível de segurança, pois a informação contida nele é criptografada, evitando assim o acesso não autorizado aos dados. Essas características tornam o JWT ideal para situações onde a confiabilidade e a segurança das informações de autenticação são cruciais.

O que é JWT?

JSON Web Token (JWT) é um padrão compacto e seguro de URL para a transmissão de informações entre partes como um objeto JSON. Ele é especialmente útil em cenários de autenticação e autorização, pois permite a troca de informações de forma segura e eficiente. Um JWT é composto de três partes: um cabeçalho, um payload (carga útil) e uma assinatura, cada um contribuindo para garantir a integridade e a autenticidade dos dados transmitidos.

gem 'devise'
gem 'jwt'

Instalar o devide:

bundle exec rails generate devise:install

Criação da Classe JsonWebToken
Para gerenciar os tokens JWT em nossa aplicação Rails, precisamos criar uma classe especializada chamada JsonWebToken. Essa classe terá a responsabilidade de codificar (criar) e decodificar (verificar) os tokens JWT, que são essenciais para o processo de autenticação.

Por que uma Classe Personalizada?
Utilizar uma classe personalizada para o manejo dos tokens JWT nos permite maior controle e flexibilidade. Podemos definir exatamente como os tokens são criados e validados, adaptando-os às necessidades específicas do nosso sistema.

Implementação da Classe JsonWebToken
Aqui está a implementação básica da nossa classe JsonWebToken:

# frozen_string_literal: true

class JsonWebToken
  SECRET = 'secret-key'
  ENCRYPTION = 'HS256'
  def self.encode(payload, exp = 24.hours.from_now)
    payload[:exp] = exp.to_i
    JWT.encode(payload, SECRET)
  end

  def self.decode(token)
    body = JWT.decode(token, SECRET)[0]
    HashWithIndifferentAccess.new(body)
  rescue JWT::ExpiredSignature
    nil
  rescue StandardError
    nil
  end
end

Vamos implementar a Classe de Erros agora,
Uma parte crucial de qualquer sistema de autenticação é o gerenciamento de erros. Para isso, criaremos uma classe Errors personalizada, que nos ajudará a lidar com erros de uma maneira estruturada e reutilizável em toda a nossa aplicação.

# frozen_string_literal: true
class Errors < Hash
  def add(key, value, _opts = {})
    self[key] ||= []
    self[key] << value
    self[key].uniq!
  end

  def add_multiple_errors(errors_hash)
    errors_hash.each do |key, values|
      values.each { |value| add key, value }
    end
  end

  def each
    each_key do |field|
      self[field].each { |message| yield field, message }
    end
  end
end

Após estabelecer as bases com a classe JsonWebToken e a nossa gestão de erros, o próximo passo é criar uma estrutura comum que será utilizada em diferentes contextos da nossa aplicação. Para isso, vamos implementar a classe Common::ApplicationService.

Esta classe servirá como um alicerce para os módulos de autenticação (auth) e autorização (authorization), fornecendo métodos e estruturas que serão compartilhados entre eles. A ideia é promover a reutilização de código e manter nossa aplicação organizada e eficiente, evitando a repetição desnecessária de lógicas semelhantes em diferentes partes do código.

Agora, vamos focar em um elemento crucial do nosso sistema de autenticação: a classe Auth::Base. Esta classe, que herda de Common::ApplicationService, é responsável por abstrair e gerenciar a lógica central de autenticação em nossa aplicação.

# frozen_string_literal: true

module Auth
  class Base < Common::ApplicationService

    attr_accessor :email, :password, :user

    def call
      generate_token if user
    end

    def generate_token
      token = JsonWebToken.encode(uuid: user.uuid)
      user.update(token: token)
      token
    end
  end
end

Logo em seguida vamos criar o create e o destroy

# app/services/auth/user/token/create.rb
# frozen_string_literal: true

class Auth::User::Token::Create < Auth::Base
  def initialize(email, password)
    @email = email
    @password = password
  end

  def user
    user = User.find_by(email: email)
    return user if user&.valid_password?(password)

    errors.add :user_authentication, 'invalid credentials'
  end
end

# frozen_string_literal: true
# app/services/auth/user/token/destroy.rb
class Auth::User::Token::Destroy < Auth::Base
  attr_reader :token, :user_id

  def initialize(token, user_id)
    @token = token
    @user_id = user_id
  end

  def call
    destroy_token if user
  end

  def user
    @user ||= User.where(uuid: @user_id, token: http_auth_header)&.first
    errors.add(:invalid_token, 'invalid Token') if @user.blank?
    @user
  end

  def destroy_token
    return errors if @user.blank?

    @user.update(token: "")
  end

  def http_auth_header
    return @token.split.last if @token.present?

    errors.add(:token, 'missing token')

    nil
  end
end

Logo em seguida vamos criar a classe AuthorizeApiRequestUser

# frozen_string_literal: true


module Authorization
  module User
    class AuthorizeApiRequestUser < Common::ApplicationService

      attr_reader :headers

      def initialize(headers = {})
        @headers = headers
      end

      def call
        user
      end

      private

      def decoded_auth_token
        @decoded_auth_token ||= JsonWebToken.decode(http_auth_header)
      end

      def http_auth_header
        return headers['Authorization'].split.last if headers['Authorization'].present?

        errors.add(:token, 'missing token')

        nil
      end

      def user
        @user ||= ::User.find_by(uuid: decoded_auth_token[:uuid], token: http_auth_header) if decoded_auth_token
        @user || (errors.add(:token, 'invalid token of user') && nil)
      end
    end
  end
end

Criando um Endpoint para Geração de Token JWT

Com as bases de autenticação já estabelecidas, o próximo passo é criar um endpoint específico que permitirá aos usuários gerar um token JWT. Esse token será essencial para acessar as partes protegidas da aplicação.

skip_before_action é fundamental para termos um lugar para gerar a chave de acesso:

class SessionController < ApplicationController
  skip_before_action :authenticate_request, only: [:create]

  def create
    auth = Auth::User::Token::Create.call(params["email"], params["password"])
    if auth.success?
      uuid = ::JsonWebToken.decode(auth.result)["uuid"]
      user = User.find_by(uuid: uuid)
      render json: user, except: [:created_at, :updated_at, :id], status: :ok
    else
      render json: { errors: auth.errors }, status: :unauthorized
    end
  end

  def destroy
    auth = Auth::User::Token::Destroy.call(request.headers['Authorization'], User.first.uuid)
    if auth.success?
      render json: { message: auth.result }
    else
      render json: { errors: auth.errors }, status: :unauthorized
    end
  end
end

Aprimorando o ApplicationController para Autenticação e Gerenciamento de Usuário

Agora, vamos aprofundar na funcionalidade do nosso ApplicationController para gerenciar a autenticação dos usuários e garantir que eles tenham acesso às operações autorizadas em nossa aplicação.

Criando o attr_reader :current_user

Primeiro, adicionaremos um attr_reader :current_user no nosso ApplicationController. Isso nos permite acessar o usuário autenticado atual em qualquer lugar da nossa aplicação. Embora neste exemplo usemos current_user, você pode nomear este atributo como e onde preferir.

class ApplicationController < ActionController::API
  before_action :authenticate_request
  attr_reader :current_user

  rescue_from ActionDispatch::Http::Parameters::ParseError do |_exception|
    render json: { error: 'something happens', status: :bad_request }
  end
  def authenticate_request
    auth = Authorization::User::AuthorizeApiRequestUser.call(request.headers)
    @current_user = auth.result
    render json: { errors: auth.errors }, status: :unauthorized unless @current_user
  end
end

Login:

Events:
Neste caso é importante usar no headers
key: Authorization value: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ1dWlkIjoiZGVhMzY5MDQtMDQ4Ny00OTI3LWJjNDktNDU0YmY4N2ZkMzU4IiwiZXhwIjoxNzA1NjE1NTcwfQ.BBtXmqvCxHXCPp_x_BJ53veZXwL3qUlklAHTJLjJpIk

Events quando o token é invalido:

Logout:

Para facilitar seus testes e exploração, criei uma branch especial chamada jwt_login no repositório do GitHub. Esta branch contém todas as implementações recentes relacionadas ao nosso sistema de login JWT. Convido você a baixar esta branch e experimentar as funcionalidades que discutimos.

github: jwt_login