• JAVA代码审计-json web token 安全分析

    JWT是包含三个部分json数据类型

    1. header

      alg:设置算法
      cty:内容的类型
      typ:类型
      kid:密钥id
              通常只使用alg和typ,alg默认的是HS256加密 最后,使用Base64 URL算法将上述JSON对象转换为字符串保存,就是完整的Header

    2. payload

      iss:发布人
      sub:主题
      exp:到期时间
      nbf:之前不可用
      iat:发布时间
      jti:jwt的id,用来标识此JWT
      aud:用户
              这些字段是可以自定义的,后面的例子会有具体说明 负载部分也使用Base64 URL算法转换为字符串保存

    3. signatue
      1.先将第一段和第二段的base64拼接起来
      2.对拼接起来的字符串做上边指定的HS256编码(含有指定密钥)
      3.再做base64加密返回

    生成 JWT token示例

    1. import java.util.Date;
    2. import com.auth0.jwt.JWT;
    3. import com.auth0.jwt.algorithms.Algorithm;
    5. public class JwtTokenGenerator {
    6.     public static String generateToken(String userId, String issuer, String secretKey) {
    7.         Date now = new Date();
    8.         Date expiryDate = new Date(now.getTime() + 3600000); // 设置过期时间为1个小时后
    9.         Algorithm algorithm = Algorithm.HMAC256(secretKey);//设置算法及密钥
    11.         String token = JWT.create()
    12.             .withIssuer(issuer)//发布人
    13.             .withClaim("userId", userId)//数据 "usrid:xxxxx"
    14.             .withIssuedAt(now)//发布时间
    15.             .withExpiresAt(expiryDate)//到期时间
    16.             .sign(algorithm);//
    18.         return token;
    19.     }
    20. }

    在上面的代码中,我们使用JWT.create()方法创建了一个JwtBuilder对象,并通过调用它的一系列方法(例如,withIssuer、withClaim、withIssuedAt和withExpiresAt)将需要保存在JWT令牌中的信息添加进去。最后,我们使用sign(algorithm)方法将JwtBuilder对象编码为一个JWT字符串

    运行结果示例

    1. public class Main {
    2.     public static void main(String[] args) {
    3.         String userId = "123456789";
    4.         String issuer = "myapp";
    5.         String secretKey = "mySecretKey";
    7.         String token = JwtTokenGenerator.generateToken(userId, issuer, secretKey);
    8.         System.out.println("Generated Token: " + token);
    9.     }
    10. }

    运行上述代码,将会输出类似以下内容的生成的JWT令牌

    Generated Token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ.8FSN3Iaa1-1W2CooZTd5q95K7uzJiOqjnpa7TzTg46A

    在这个token 中前两个字段可通过base64解码

    第一个字段

    eyJhbGciOiJIUzI1NiJ9

    {"alg":"HS256"}

    第二个字段eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ

    {"sub":"32147889","iss":"myapp","userId":"1234567890","iat":1633412213,"exp":1633415013}

    第三个字段
            但第三个字段为上面的两个数据的HMAC256加密 没有密钥无法解出数据的。功能也很明显,用来验证上述数据的完整性,就是传输的过程中没有被篡改。

            由于这条token是服务端生成的,保存在客户端,验证也是服务端来的。所以只要密钥没有泄露 理论上这样的设计是安全的。

            但是好死不死,web开发人员的开始作妖了。

            漏洞产生的原因就是没有对第三个字段进行验证处理。只用前两个数据,那直接base64就好了,为什么还用JWT呢。

            还有就是虽然做了验证处理但是存在逻辑缺陷。

            还需要注意的是密钥千万不能泄露而且要复杂,密钥一旦泄露,怎么处理都是不安全的。

    若密钥太简单存在被爆破的可能,防御也很简单会话结束或过期更换密钥就好了;

  • 相关阅读:
    蒜头君破案(stl—set,stl—vector练习)
    Linux之history使用技巧
    Docker CMD和ENTRYPOINT的区别
    Qt自定义标题栏
    【Meetup明天见】OpenMLDB+AutoX:整合自动特征工程,拥抱高效机器学习​
    redisson支持高并发的RBucket
    Junit单元测试异常处理方法
    PyCharm中常用插件推荐
    java毕业设计房屋租赁系统演示录像2021mybatis+源码+调试部署+系统+数据库+lw
    Java中的乐观锁、悲观锁、自旋锁、偏向锁、轻量级锁、重量级锁
  • 原文地址:https://blog.csdn.net/shelter1234567/article/details/133986221