# Generación y verificación de JWT

## Importamos las librerias base64 y json


In [None]:
# JWT requiere que el encabezado y el payload se codifiquen en base64.
import base64
# Se utiliza para convertir el header y el payload de JWT a una representación de cadena JSON.
import json

### Creamos los datos para el ejemplo

In [None]:
header_data = {"alg": "HS256", "typ": "JWT"}
payload_data = {"user_id": 1, "username": "admin"}
secret = "your-secret"

### Método para codificar datos

In [None]:
def b64_encode(data: dict, encoding: str = "utf-8") -> str:
    # Convierte el diccionario data a una cadena JSON.
    # Convierte la cadena JSON a bytes.
    data_bytes: bytes = json.dumps(data).encode(encoding)
    # Codifica los data_bytes en una cadena base64 que es segura para ser usada en URLs.
    # Convierte los bytes codificados en base64 de nuevo a una cadena (str).
    # Elimina cualquier signo igual (=) al final de la cadena codificada.
    # Los signos igual se utilizan en base64 para rellenar la cadena hasta una longitud que sea múltiplo de 4.
    data_encoded: str = base64.urlsafe_b64encode(data_bytes).decode(encoding).rstrip('=')
    # Retorna la cadena codificada en base64 URL-safe del diccionario original.
    return data_encoded

### Ejemplo de datos codificados

In [None]:
# Codifica los datos del header.
header_encoded = b64_encode(header_data)
# Codifica los datos del payload.
payload_encoded = b64_encode(payload_data)
print(f"Header Codificado: {header_encoded}")
print(f"Payload Codificado: {payload_encoded}")

Header Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9
Payload Codificado: eyJ1c2VyX2lkIjogMSwgInVzZXJuYW1lIjogImFkbWluIn0


## Importamos las librerias hmac y hashlib.
Estas librerías se utilizan para generar la firma del JWT.

In [None]:
# Permite la creación de un código de autenticación de mensajes basado en hash (HMAC).
import hmac
# Es usado por hmac para especificar el algoritmo de hash deseado.
import hashlib

### Método para firmar un JWT

In [None]:
def sign(key: str, encoding: str = "utf-8") -> bytes:
    # Se crea un nuevo objeto HMAC.
    # Convierte la clave secreta (key) a bytes.
    # Especifica el módulo de digestión para el algoritmo de hash.
    # Finaliza el cálculo del HMAC y devuelve la firma digital como una secuencia de bytes.
    signature = hmac.new(key.encode(encoding), digestmod=hashlib.sha256).digest()
    # Retorna la secuencia de bytes que representa la firma digital generada a partir de la clave key.
    return signature

### Modificamos el método para codificar datos

In [None]:
def b64_encode(data_bytes: bytes, encoding: str = "utf-8") -> str:
    # Codifica los data_bytes en una cadena base64 que es segura para ser usada en URLs.
    # Convierte los bytes codificados en base64 de nuevo a una cadena (str).
    # Elimina cualquier signo igual (=) al final de la cadena codificada.
    # Los signos igual se utilizan en base64 para rellenar la cadena hasta una longitud que sea múltiplo de 4.
    data_encoded: str = base64.urlsafe_b64encode(data_bytes).decode(encoding).rstrip('=')
    # Retorna la cadena codificada en base64 URL-safe del diccionario original.
    return data_encoded

### Método para codificar un JWT
Hacemos el método más flexible y reutilizable para opera directamente con bytes, lo que significa que puede codificar cualquier dato ya convertido a bytes, no solo diccionarios JSON.

In [None]:
def encode_jwt(header: dict, payload: dict, key: str, encoding: str = "utf-8") -> str:
    # Codifica los bytes del header JSON en una cadena base64 URL-safe.
    encoded_header = b64_encode(json.dumps(header).encode(encoding))
    # Codifica los bytes del payload JSON en una cadena base64 URL-safe.
    encoded_payload = b64_encode(json.dumps(payload).encode(encoding))
    # Calcula la firma digital de algún mensaje utilizando la clave secret.
    # Codifica los bytes de la firma en una cadena base64 URL-safe.
    encoded_signature = b64_encode(sign(key))
    # Retorna la cadena concatenadad del header, payload y signature separados por puntos.
    return f"{encoded_header}.{encoded_payload}.{encoded_signature}"

### Ejemplo de JWT codificado

In [None]:
# Codifica el JWT.
jwt: str = encode_jwt(header_data, payload_data, secret)
print(f"JWT Codificado: {jwt}")

JWT Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMSwgInVzZXJuYW1lIjogImFkbWluIn0.185fPSIu_Q5dd1bAaQ43GUta2LBa-04CvF6ONJ-5Nc8


### Método para decodificar datos

In [None]:
def b64_decode(input: str) -> bytes:
    # Calcula cuánto relleno (=) necesita ser añadido a la entrada para que su longitud sea un múltiplo de 4, lo cual es un requisito para la decodificación base64.
    padding = '=' * (4 - (len(input) % 4))
    # Retorna los bytes decodificados.
    return base64.urlsafe_b64decode(input + padding)

### Método para decodificar un JWT

In [None]:
def decode_jwt(token:str, secret:str) -> tuple[dict, dict]:
    # Divide el token en sus componentes separados por puntos (.), asignando los valores a header, payload, descartando la firma.
    header, payload, _ = token.split('.')
    # Decodifica el header del JWT de base64 URL-safe a bytes usando la función y luego convierte esos bytes de JSON a un diccionario Python.
    decoded_header = json.loads(b64_decode(header))
    # Decodifica el payload del JWT de base64 URL-safe a bytes usando la función y luego convierte esos bytes de JSON a un diccionario Python.
    decoded_payload = json.loads(b64_decode(payload))
    # Retorna una tupla que contiene el encabezado y el payload del JWT decodificados como diccionarios Python.
    return decoded_header, decoded_payload

### Ejemplo de JWT decodificado

In [None]:
# Codifica el JWT.
jwt: str = encode_jwt(header_data, payload_data, secret)
print(f"JWT Codificado: {jwt}")
# Decodifica el JWT.
header_decoded, payload_decoded = decode_jwt(jwt, secret)
print(f"JWT Decodificado: {header_decoded} {payload_decoded}")

JWT Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMSwgInVzZXJuYW1lIjogImFkbWluIn0.185fPSIu_Q5dd1bAaQ43GUta2LBa-04CvF6ONJ-5Nc8
JWT Decodificado: {'alg': 'HS256', 'typ': 'JWT'} {'user_id': 1, 'username': 'admin'}


### Ejemplo de JWT recodificado

In [None]:
# Codifica el JWT.
jwt: str = encode_jwt(header_data, payload_data, secret)
print(f"JWT Codificado: {jwt}")
# Decodifica el JWT.
header_decoded, payload_decoded = decode_jwt(jwt, secret)
print(f"JWT Decodificado: {header_decoded} {payload_decoded}")
# Modifica el payload_decoded actualizando las claves user_id y username con nuevos valores.
payload_decoded.update({"user_id": 2, "username": "super-admin"})
# Recodifica un nuevo JWT.
jwt_decoded: str = encode_jwt(header_decoded, payload_decoded, secret)
print(f"JWT Codificado: {jwt_decoded}")

JWT Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMSwgInVzZXJuYW1lIjogImFkbWluIn0.185fPSIu_Q5dd1bAaQ43GUta2LBa-04CvF6ONJ-5Nc8
JWT Decodificado: {'alg': 'HS256', 'typ': 'JWT'} {'user_id': 1, 'username': 'admin'}
JWT Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMiwgInVzZXJuYW1lIjogInN1cGVyLWFkbWluIn0.185fPSIu_Q5dd1bAaQ43GUta2LBa-04CvF6ONJ-5Nc8


### Método para firmar un JWT
Hacemos el método más enfocado en seguir las especificaciones de JWT, donde la firma debe calcularse a partir de la representación codificada.

In [None]:
def sign(key: str, encoded_header: str, encoded_payload: str, encoding: str = "utf-8") -> bytes:
    # Se crea un nuevo objeto HMAC.
    # Convierte la clave secreta (key) a bytes.
    # Formatea una cadena que concatena encoded_header y encoded_payload con un punto entre ellos.
    # Especifica el módulo de digestión para el algoritmo de hash.
    # Finaliza el cálculo del HMAC y devuelve la firma digital como una secuencia de bytes.
    signature = hmac.new(key.encode(encoding), f"{encoded_header}.{encoded_payload}".encode(encoding), hashlib.sha256).digest()
    # Retorna la secuencia de bytes que representa la firma digital generada a partir de la clave key, el encoded_header y el encoded_payload.
    return signature

### Método para codificar un JWT

In [None]:
def encode_jwt(header: dict, payload: dict, key: str, encoding: str = "utf-8") -> str:
    # Codifica los bytes del encabezado JSON en una cadena base64 URL-safe.
    encoded_header = b64_encode(json.dumps(header).encode(encoding))
    # Codifica los bytes del payload JSON en una cadena base64 URL-safe.
    encoded_payload = b64_encode(json.dumps(payload).encode(encoding))
    # Calcula la firma digital de algún mensaje utilizando la clave key, el encoded_header y el encoded_payload.
    # Codifica los bytes de la firma en una cadena base64 URL-safe.
    encoded_signature = b64_encode(sign(key, encoded_header, encoded_payload))
    # Retorna la cadena concatenadad del header, payload y signature separados por puntos.
    return f"{encoded_header}.{encoded_payload}.{encoded_signature}"

### Ejemplo de JWT recodificado

In [None]:
# Codifica el JWT.
jwt: str = encode_jwt(header_data, payload_data, secret)
print(f"JWT Codificado: {jwt}")
# Decodifica el JWT.
header_decoded, payload_decoded = decode_jwt(jwt, secret)
print(f"JWT Decodificado: {header_decoded} {payload_decoded}")
# Modifica el payload_decoded actualizando las claves user_id y username con nuevos valores.
payload_decoded.update({"user_id": 2, "username": "super-admin"})
# Recodifica un nuevo JWT.
jwt_decoded: str = encode_jwt(header_decoded, payload_decoded, secret)
print(f"JWT Codificado: {jwt_decoded}")

JWT Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMSwgInVzZXJuYW1lIjogImFkbWluIn0.ogtauNDtFtBNdgEyyYXc4TXAPX9bm1wvnzIH4eVA9Vw
JWT Decodificado: {'alg': 'HS256', 'typ': 'JWT'} {'user_id': 1, 'username': 'admin'}
JWT Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMiwgInVzZXJuYW1lIjogInN1cGVyLWFkbWluIn0.Qdh_X-DR5ezgt3UEA3h0LrLrWgQT_L0CEOnL6SWuqH4


### Ejemplo de JWT malicioso

In [None]:
# Codifica el JWT.
jwt: str = encode_jwt(header_data, payload_data, secret)
print(f"JWT Original Codificado: {jwt}")
# Decodifica el JWT.
header_decoded, payload_decoded = decode_jwt(jwt, secret)
print(f"JWT Original Decodificado: {header_decoded} {payload_decoded}")
# Modifica el payload_decoded actualizando las claves user_id y username con nuevos valores.
payload_decoded.update({"user_id": 2, "username": "super-admin"})
# Recodifica un nuevo JWT.
jwt_decoded: str = encode_jwt(header_decoded, payload_decoded, secret)
print(f"JWT Codificado: {jwt_decoded}")
# Divide el JWT original en sus partes constituyentes (encabezado, payload, firma).
parts = jwt.split(".")
# Divide el nuevo JWT recodificado en sus partes constituyentes (encabezado, payload, firma).
parts_decoded = jwt_decoded.split(".")
# Crea un "JWT malicioso" combinando el encabezado del JWT original, el payload del nuevo JWT, y la firma del JWT original.
# Esto intenta simular un ataque donde un actor malicioso modifica el payload sin poder generar una firma válida.
jwt_malicious = f"{parts[0]}.{parts_decoded[1]}.{parts[2]}"
print(f"JWT Malicioso Codificado: {jwt_malicious}")
# Decodifica el "JWT malicioso".
header_malicious, payload_malicious = decode_jwt(jwt_malicious, secret)
print(f"JWT Original Decodificado: {header_decoded} {payload_decoded}")

JWT Original Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMSwgInVzZXJuYW1lIjogImFkbWluIn0.ogtauNDtFtBNdgEyyYXc4TXAPX9bm1wvnzIH4eVA9Vw
JWT Original Decodificado: {'alg': 'HS256', 'typ': 'JWT'} {'user_id': 1, 'username': 'admin'}
JWT Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMiwgInVzZXJuYW1lIjogInN1cGVyLWFkbWluIn0.Qdh_X-DR5ezgt3UEA3h0LrLrWgQT_L0CEOnL6SWuqH4
JWT Malicioso Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMiwgInVzZXJuYW1lIjogInN1cGVyLWFkbWluIn0.ogtauNDtFtBNdgEyyYXc4TXAPX9bm1wvnzIH4eVA9Vw
JWT Original Decodificado: {'alg': 'HS256', 'typ': 'JWT'} {'user_id': 2, 'username': 'super-admin'}


### Método para decodificar un JWT
Hacemos el método más enfocado en seguir las especificaciones de JWT, donde la firma debe validarse.

In [None]:
def decode_jwt(token:str, key:str, encoding: str = "utf-8") -> tuple[dict, dict]:
    # Divide el token en sus componentes separados por puntos (.), asignando los valores a header, payload y signature.
    header, payload, signature = token.split('.')
    # Decodifica el header del JWT de base64 URL-safe a bytes usando la función y luego convierte esos bytes de JSON a un diccionario Python.
    decoded_header = json.loads(b64_decode(header))
    # Decodifica el payload del JWT de base64 URL-safe a bytes usando la función y luego convierte esos bytes de JSON a un diccionario Python.
    decoded_payload = json.loads(b64_decode(payload))
    # Genera una nueva firma digital utilizando la clave secreta (key) y los componentes header y payload del JWT.
    signature_to_verify = hmac.new(key.encode(encoding), f"{header}.{payload}".encode(encoding), hashlib.sha256).digest()
    # Compara la firma recién generada (signature_to_verify) con la firma original del JWT (signature) después de decodificarla de base64 URL-safe a bytes.
    # Si la firma no coincide, se lanza una excepción ValueError
    if not hmac.compare_digest(signature_to_verify, b64_decode(signature)):
      raise ValueError("La firma del JWT no coincide.")
    # Retorna una tupla que contiene el encabezado y el payload del JWT decodificados como diccionarios Python.
    return decoded_header, decoded_payload

### Ejemplo modificando un JWT

In [None]:
# Codifica el JWT.
jwt: str = encode_jwt(header_data, payload_data, secret)
print(f"JWT Original Codificado: {jwt}")
# Decodifica el JWT.
header_decoded, payload_decoded = decode_jwt(jwt, secret)
print(f"JWT Original Decodificado: {header_decoded} {payload_decoded}")
# Modifica el payload_decoded actualizando las claves user_id y username con nuevos valores.
payload_decoded.update({"user_id": 2, "username": "super-admin"})
# Recodifica un nuevo JWT.
jwt_decoded: str = encode_jwt(header_decoded, payload_decoded, secret)
print(f"JWT Codificado: {jwt_decoded}")
# Divide el JWT original en sus partes constituyentes (encabezado, payload, firma).
parts = jwt.split(".")
# Divide el nuevo JWT recodificado en sus partes constituyentes (encabezado, payload, firma).
parts_decoded = jwt_decoded.split(".")
# Crea un "JWT malicioso" combinando el encabezado del JWT original, el payload del nuevo JWT, y la firma del JWT original.
# Esto intenta simular un ataque donde un actor malicioso modifica el payload sin poder generar una firma válida.
jwt_malicious = f"{parts[0]}.{parts_decoded[1]}.{parts[2]}"
print(f"JWT Malicioso Codificado: {jwt_malicious}")
# Decodifica el "JWT malicioso".
try:
  header_malicious, payload_malicious = decode_jwt(jwt_malicious, secret)
  print(f"JWT Original Decodificado: {header_decoded} {payload_decoded}")
except ValueError as e:
    print(e)

JWT Original Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMSwgInVzZXJuYW1lIjogImFkbWluIn0.ogtauNDtFtBNdgEyyYXc4TXAPX9bm1wvnzIH4eVA9Vw
JWT Original Decodificado: {'alg': 'HS256', 'typ': 'JWT'} {'user_id': 1, 'username': 'admin'}
JWT Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMiwgInVzZXJuYW1lIjogInN1cGVyLWFkbWluIn0.Qdh_X-DR5ezgt3UEA3h0LrLrWgQT_L0CEOnL6SWuqH4
JWT Malicioso Codificado: eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9.eyJ1c2VyX2lkIjogMiwgInVzZXJuYW1lIjogInN1cGVyLWFkbWluIn0.ogtauNDtFtBNdgEyyYXc4TXAPX9bm1wvnzIH4eVA9Vw
La firma del JWT no coincide.
