JWT安全

JWT 安全

cookie(放在浏览器)

cookie 是一个非常具体的东西，指的就是浏览器里面能永久存储的一种数据，仅仅是浏览器实现的一种数据存储功能。

cookie 由服务器生成，发送给浏览器，浏览器把 cookie 以 kv 形式保存到某个目录下的文本文件内，下一次请求同一网站时会把该 cookie 发送给服务器。由于 cookie 是存在客户端上的，所以浏览器加入了一些限制确保 cookie 不会被恶意使用，同时不会占据太多磁盘空间，所以每个域的 cookie 数量是有限的

session(放在服务器)

session 从字面上讲，就是会话。这个就类似于你和一个人交谈，你怎么知道当前和你交谈的是张三而不是李四呢？对方肯定有某种特征（长相等）表明他就是张三。

session 也是类似的道理，服务器要知道当前发请求给自己的是谁。为了做这种区分，服务器就要给每个客户端分配不同的“身份标识”，然后客户端每次向服务器发请求的时候，都带上这个“身份标识”，服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”，可以有很多种方式，对于浏览器客户端，大家都默认采用 cookie 的方式。

服务器使用 session 把用户的信息临时保存在了服务器上，用户离开网站后 session 会被销毁。这种用户信息存储方式相对 cookie 来说更安全，可是 session 有一个缺陷：如果 web服务器做了负载均衡，那么下一个操作请求到了另一台服务器的时候 session 会丢失。

token

在 Web 领域基于 Token 的身份验证随处可见。在大多数使用 Web API 的互联网公司中，tokens 是多用户下处理认证的最佳方式。

以下几点特性会让你在程序中使用基于 Token 的身份验证

1. 无状态、可扩展

2. 支持移动设备

3. 跨程序调用

4. 安全

jwt（json web token）

JWT（JSON Web Token）由三部分组成：头部（Header）、载荷（Payload）、签名（Signature）。

头部（Header）：头部通常由两部分组成，算法类型和令牌类型。

算法类型：指定用于生成签名的算法，例如 HMAC、RSA 或者 ECDSA。

令牌类型：指定令牌的类型，常见的是 JWT。

头部使用 Base64Url 编码表示，并作为整个 JWT 的第一部分。头部的一个示例：

{

“alg”: “HS256”,none

“typ”: “JWT”

}

载荷（Payload）：载荷存储了有关用户或实体的声明和其他有关信息。

声明：如用户 ID、角色、权限等信息。

注册声明：包含一些标准的声明（比如发行人、过期时间等）和一些自定义的声明。

载荷也使用 Base64Url 编码表示，并作为整个 JWT 的第二部分。载荷的一个示例：

{

“sub”: “1234567890”,

“name”: “John Doe”,

“iat”: 1516239022

}

签名（Signature）：签名是对头部和载荷进行签名的结果，用于验证 JWT 的完整性和真实性。

签名生成方式：将头部和载荷进行 Base64Url 编码后拼接在一起，然后使用指定的加密算法（如 HMAC、RSA）进行签名，将生成的签名添加到 JWT 中。

头部

alg

是说明这个 JWT 的签名使用的算法的参数，常见值用 HS256（默认），HS512 等，也可以为None。HS256 表示 HMAC SHA256。

typ

说明这个 token 的类型为 JWT

载荷

签名

服务器有一个不会发送给客户端的密码（secret），用头部中指定的算法对头部和声明的内容用此密码进行加密，生成的字符串就是 JWT 的签名。

示例

启动靶场WebGoat

jwt网站：https://jwt.io/

第四关

1. 抓包

   

2. 进行解密

   

3. 修改加密

   

   

4. 修改加密方式为none

   

5. 此时签名没有意义，删除掉，只留点

   

6. 修改数据包

   

第七关

1. 抓包

   

2. 点击here，找到jwt

   

3. 将jwt放到jwt.io

   

4. 进行修改