渗透测试-JWT攻击

1.jwt是什么

Json web token(JWT),是为了在网络应用环境间传递声明而执行的一中基于JSON的开放标准。常用于分布式站点的单点登录。

JWT的声明一般被用在客户端与服务端之间传递身份认证信息,便于向服务端请求资源。

1.1.原理

1)客户端提交用户名密码等信息到服务端请求登录,服务端在验证通过后前发一个具有时效性的token,将token返回给客户端

2)客户端收到token后会将token存储在cookie或localStorage中

3)随后客户端每次请求都会携带这个token,服务端收到请求后校验该token并在验证通过后返回对应资源

2.起源

基于传统的session认证看jwt的起源

2.1.session认证

解决http协议本身并不能记录状态问题,session在每一次会话开始时产生,用于存放会话信息,每个session以键值对的方式生成(session_id=session),将session_id以cookie的形式(set-cookie)返回给客户端,客户端再次请求时携带session_id,服务端根据session_id使用对应的session作为认证信息为客户端响应对应服务

2.2.传统session认证问题

1)服务端开销问题:由于认证信息存储在服务端,当认证用户量增加时,服务端开销会明显增大

2)扩展性不佳:由于存储在服务器端,意味着后续的请求也必须是在同一台服务器上才能响应对应资源,对于分布式应用,限制了负载均衡的能力以及应用扩展能力

3)CSRF攻击

  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值