Het implementeren van rolgebaseerde toegangscontrole (RBAC) met JWT in een REST API vereist een gestructureerde aanpak om veiligheid en efficiëntie te waarborgen. Hier volgen beste praktijken en strategische adviezen: 1. Rollen veilig coderen in JWT-claims: - Gebruik een duidelijke en consistente claim, bijvoorbeeld `"roles"` of `"role"`. - Bewaar rollen als een array of lijst binnen de claim, bijvoorbeeld: ```json { "sub": "user123", "iat": 1616161616, "roles": ["admin", "gebruiker"] } ``` - Zorg dat de JWT altijd met een geheime sleutel (bijvoorbeeld HMAC SHA-256) wordt ondertekend om authenticiteit en integriteit te garanderen. - Vermijd het coderen van gevoelige informatie in de JWT; houd de claims beperkt tot identificatie en toegangsgerelateerde gegevens. 2. Strategieën voor toegangscontrole: - **Server-side verificatie**: - Na ontvangst van een API-aanvraag, verifieer de JWT (handtekening, vervaldatum). - Lees de `"roles"`-claim uit de payload. - Controleer of de gebruiker over de juiste rol(len) beschikt voor de gevraagde actie of resource. - **Endpoint-beveiliging**: - Implementeer middleware of filters die rollen controleren vóór het uitvoeren van de endpoint-logica. - Voor bijvoorbeeld een admin-only endpoint, controleer of `"admin"` in de `"roles"`-claim zit. - **Gebruik van rol-gebaseerde middleware**: - Maak herbruikbare functies of middleware die rollen controleren, bijvoorbeeld: ```python def require_role(required_role): def decorator(func): def wrapper(*args, **kwargs): token = krijg_token() payload = decode_jwt(token) if required_role not in payload['roles']: return "Toegang geweigerd", 403 return func(*args, **kwargs) return wrapper return decorator ``` 3. Beste praktijken voor beheer en veiligheid: - **Principle of Least Privilege**: - Ken alleen de minimale benodigde rollen toe aan gebruikers. - **Rolbeheer en -toewijzing**: - Beheer rollen centraal, bijvoorbeeld via een beheersysteem of database. - Verander rollen dynamisch door JWT's te vernieuwen bij rolwijzigingen. - **Token verval en refresh tokens**: - Stel korte vervaltijden in voor JWT's en gebruik refresh tokens voor langdurige sessies. - **Auditing en logging**: - Log toegangsverzoeken en rolwijzigingen voor auditdoeleinden. - **Veilige opslag van geheime sleutels**: - Bewaar JWT-signaturesleutels veilig, bijvoorbeeld in environment variables of geheimenbeheer. Door deze aanpak te volgen, creëer je een veilige en flexibele rolgebaseerde toegangscontrole in je REST API met JWT.

Zeker, hier is een uitgebreid overzicht voor het implementeren van rolgebaseerde toegangscontrole (RBAC) met JWT in je REST API: ## 1. JWT Claims voor Rollen ### Veilige rolencodering: ```json { "sub": "gebruiker123", "roles": ["gebruiker", "admin"], "exp": 1672531200, "iat": 1672444800 } ``` ### Beste praktijken voor claims: - Gebruik het standaard `roles` claim of een namespace zoals `https://uwdomein.com/roles` - Sla alleen rol-identifiers op, niet permissions - Houd de JWT compact - vermijd te veel claims ## 2. JWT Generatie (Backend) ```javascript // Voorbeeld Node.js const jwt = require('jsonwebtoken'); function generateToken(user) { const payload = { sub: user.id, roles: user.roles, // ['gebruiker'] of ['admin'] of ['gebruiker', 'admin'] exp: Math.floor(Date.now() / 1000) + (60 * 60) // 1 uur }; return jwt.sign(payload, process.env.JWT_SECRET, { algorithm: 'HS256' }); } ``` ## 3. Middleware voor Toegangscontrole ### Authenticatie Middleware: ```javascript function authenticateToken(req, res, next) { const authHeader = req.headers['authorization']; const token = authHeader && authHeader.split(' ')[1]; if (!token) { return res.status(401).json({ error: 'Toegang geweigerd' }); } jwt.verify(token, process.env.JWT_SECRET, (err, user) => { if (err) return res.status(403).json({ error: 'Ongeldig token' }); req.user = user; next(); }); } ``` ### Autorisatie Middleware: ```javascript function requireRole(requiredRoles) { return (req, res, next) => { if (!req.user || !req.user.roles) { return res.status(403).json({ error: 'Onvoldoende rechten' }); } const hasRole = requiredRoles.some(role => req.user.roles.includes(role) ); if (!hasRole) { return res.status(403).json({ error: 'Onvoldoende rechten' }); } next(); }; } // Gebruik in routes app.get('/admin/dashboard', authenticateToken, requireRole(['admin']), (req, res) => { res.json({ message: 'Welkom admin' }); }); app.get('/user/profile', authenticateToken, requireRole(['gebruiker', 'admin']), (req, res) => { res.json({ message: 'Welkom gebruiker' }); }); ``` ## 4. Beveiligingsstrategieën ### JWT Beveiliging: - Gebruik sterke geheimen (minimaal 32 karakters) - Implementeer korte token levensduur (15-60 minuten) - Gebruik refresh tokens voor langere sessies - Zet JWT in HTTP-only cookies voor web apps ### Role Management: ```javascript // Rol-definities (centraal beheer) const ROLES = { ADMIN: 'admin', USER: 'gebruiker' }; // Permission-based benadering (aanbevolen) const PERMISSIONS = { [ROLES.ADMIN]: ['read:users', 'write:users', 'delete:users'], [ROLES.USER]: ['read:profile', 'update:profile'] }; ``` ## 5. Geavanceerde Toegangscontrole ### Resource-Based Autorisation: ```javascript function canAccessResource(user, resource, action) { const userPermissions = getUserPermissions(user.roles); return userPermissions.includes(`${action}:${resource}`); } // Gebruik in controllers app.delete('/users/:id', authenticateToken, (req, res) => { if (!canAccessResource(req.user, 'users', 'delete')) { return res.status(403).json({ error: 'Geen delete rechten' }); } // Verwijder gebruiker }); ``` ## 6. Beste Praktijken ### 1. **Principle of Least Privilege**: - Geef minimale benodigde rechten per rol - Review regelmatig rol-toewijzingen ### 2. **Regelmatige Audits**: - Log alle toegangspogingen - Monitor ongebruikelijke activiteiten ### 3. **Token Beveiliging**: - HTTPS verplicht - Korte expiration times - Secure token opslag ### 4. **Error Handling**: ```javascript // Geen informatie lekken in errors res.status(403).json({ error: 'Toegang geweigerd' }); // Niet: "Je bent geen admin" ``` ### 5. **Rate Limiting**: ```javascript // Voorkom brute force aanvallen const rateLimit = require('express-rate-limit'); const authLimiter = rateLimit({ windowMs: 15 * 60 * 1000, // 15 minuten max: 5 // maximaal 5 pogingen }); ``` ## 7. Implementatie Checklist - [ ] JWT tokens bevatten alleen essentiële claims - [ ] Rollen worden server-side gevalideerd - [ ] Geen client-side autorisatie beslissingen - [ ] Regelmatige secret rotation - [ ] Uitgebreide logging - [ ] Security headers geïmplementeerd - [ ] Input validatie op alle endpoints Deze aanpak zorgt voor een robuust RBAC systeem dat schaalbaar blijft en voldoet aan security best practices voor je REST API.