search

SSO mediante JWT

La piattaforma Opencity Italia supporta questa possibilità mediante una tecnica che permette di convertire una sessione basata su cookie in un token JWT.

Questo consente di usare l'autenticazione senza necessariamente usare lo stesso cookie:

  1. integrarsi con altri applicativi di terze parti che possono usare un client JWT;

  2. fare chiamate cross-origin (CORS) autenticate dove non è semplice o possibile sfruttare lo stesso cookie di autenticazione;

circle-info

Attenzione: il requisito perché questa tecnica funzioni è che i servizi si trovino tutti sotto lo stesso dominio di secondo livello. Ad esempio: - servizi.comune.bugliano.pi.it - www.comune.bugliano.pi.it - altro.bugliano.pi.it

hashtag
Il Cookie di Sessione

Come molti applicativi web anche Opencity Italia usa i cookie per implementare la sessione utente, il cookie si ottiene semplicemente l'indirizzo di accesso degli utenti: ad esempio per il nostro Ente di demo è

https://servizi.comune.bugliano.pi.it/lang/it/userservizi.comune.bugliano.pi.itchevron-right
Il path per fare accesso è sempre /$lingua/user

In base alla configurazione del tipo di accesso, si viene rediretti su un provider di autenticazione (tipicamente un sistema che permette il login con Spid/CIE), si eseguono tutti gli step necessari e infine si torna sull'area personale con una sessione valida.

A questo punto nel proprio brower è possibile rintracciare facilmente il cookie della piattaforma.

Esempio di cookie di sessione

hashtag
Il token JWT

Il cookie di sessione viene inviato in modo trasparente all'utente dal browser al sito che lo ha generato, e questo garantisce che l'utente abbia sempre una sessione valida quando naviga nella sua area personale.

Per fare chiamate alle API però è necessario convertire il Cookie in Token JWT, per farlo esiste una apposita API, nel nostro esempio:

https://servizi.comune.bugliano.pi.it/lang/api/session-authservizi.comune.bugliano.pi.itchevron-right
l'API per ottenere il token JWT è /api/session-auth

Per simulare la chiamata con Postman ad esempio:

esemio di chiamata per recupeare il token JWT usando il cookie e l'API /session-auth

Il token JWT può essere usato adesso per fare chiamate alle API che richiedono una autenticazione, ad esempio posso usare l'interfaccia Swagger delle API come segue.

Faccio click in alto a destra sul comando Authorize

https://servizi.comune.bugliano.pi.it/lang/api/docarrow-up-right
Inserisco il valore del token ottenuto con la chiamata /session-auth

A questo punto posso chiamare le API che richiedono autenticazione come la /applications

hashtag
Anatomia di un Token

All'interno del token sono presenti le seguenti informazioni:

hashtag
Header

hashtag
Payload

PreviousSSO mediante oAuth2NextProcessi asincroni (job)

Last updated

Was this helpful?