jwt令牌_JWT令牌的秘密轮换

最新推荐文章于 2024-03-22 09:09:14 发布
最新推荐文章于 2024-03-22 09:09:14 发布
阅读量387 收藏
点赞数
文章标签: 算法 java python 数据库 设计模式
原文链接:https://www.javacodegeeks.com/2018/01/secret-rotation-jwt-tokens.html
版权

jwt令牌

当您使用JSON Web令牌JWT )或需要对有效载荷信息进行签名或加密的任何其他令牌技术时,设置令牌的到期日期很重要,因此,如果令牌到期,则可以假定这可能被视为安全漏洞,您拒绝使用此令牌进行任何通信,或者您决定通过使用新的到期日期更新令牌来启用该令牌。

但是使用某种秘密轮换算法也很重要,因此用于签名或加密令牌的秘密会定期更新,因此,如果该秘密受到威胁,则此密钥泄漏的令牌会更少。 同样,您也可以减少机密被破解的可能性。

有几种策略可以实现这一目的,但是在这篇文章中,我将解释我如何在几年前开发的一个项目中实现秘密轮换
具有HMAC算法的JWT令牌。

我将展示如何在Java中创建JWT令牌。 

try {

    Algorithm algorithm = Algorithm.HMAC256("secret");
    String token = JWT.create()
        .withIssuer("auth0")
        .sign(algorithm);

} catch (UnsupportedEncodingException exception){
    //UTF-8 encoding not supported
} catch (JWTCreationException exception){
    //Invalid Signing configuration / Couldn't convert Claims.
}

请注意,这里您需要做的是创建一个算法对象设置HMAC算法,并设置用于签署和验证实例的密钥。

因此,我们需要每X分钟旋转一次该算法实例,因此破解密码的机率以及破解的密码仍然有效的机率变得非常低。

那么如何旋转秘密呢? 好吧,通过一个非常简单的算法,每个人(即使您不是加密专家)也可以理解。 只是浪费时间。

因此,要生成秘密,您需要一个字符串,在上一个示例中,它是秘密字符串,当然,它并不是那么安全,所以我们的想法是通过根(我们称之为“大爆炸”部分)来组成这个秘密字符串+兼职。 总之,秘密是<bigbang> + <timeInMilliseconds>

Bing bang部分没有任何奥秘,它只是一个静态部分,例如my_super_secret

有趣的部分是时间部分。 假设您想每秒更新一次秘密。 您只需要这样做: 

long t = System.currentTimeMillis();

System.out.println(t);
System.out.println((t/1000)*1000);

TimeUnit.MILLISECONDS.sleep(50);

t = System.currentTimeMillis();
System.out.println((t/1000)*1000);

我只是将0设置为毫秒部分,所以如果运行此命令,我将得到类似以下内容: 

1515091335543
1515091335500
1515091335500

请注意,尽管在第二和第三次打印之间已经过了50毫秒,但时间部分是完全相同的。 在同一秒内将是相同的。

当然,这是一个极端的示例,其中秘密每秒钟更改一次,但其想法是您删除要忽略的部分时间,并用0填充。 因此,首先,您要除以时间,然后再乘以相同的数字。

例如,假设您想每10分钟旋转一次秘密,您只需要除以600000就可以了。

这种方法有两个问题可以解决,尽管其中一个并不是很大的问题。

第一个是因为如果您想每分钟更改一次机密,则您要缩短时间,例如,第一次计算是在一分钟的中间进行的,因此,对于这种初始情况,轮换将在30秒后发生,并且不是1分钟。 这不是一个大问题,在我们的项目中,我们没有做任何修复。

第二个是在秘密轮换之前签名的令牌的情况,它们仍然有效,您还需要能够验证它们,而不是使用新的秘密,而要使用之前的一个。

为了解决这个问题,我们要做的是创建一个有效窗口,其中还保留了先前的有效机密。 因此,当系统收到令牌时,将使用当前机密验证该令牌,如果该令牌通过,则我们可以进行其他任何检查并使用它,如果未通过,则令牌将由先前的机密验证。 如果通过,则重新创建令牌并使用新的秘密对其进行签名;如果未通过,则显然此令牌无效,必须拒绝。

要为JWT创建算法对象,您只需执行以下操作: 

long currentTime = System.currentTimeMillis();

try {
  return Algorithm.HMAC256("my_big_bang" + (currentTime/60000)*60000);
} catch (UnsupportedEncodingException e) {
  throw new IllegalArgumentException(e);
}

我真正喜欢这种解决方案的地方是:

  • 它很干净,系统上不需要额外的元素。
  • 不需要异步运行的触发线程来更新密码。
  • 它确实性能很高,您无需访问外部系统。
  • 测试服务真的很容易。
  • 验证过程负责旋转机密。
  • 扩展确实很容易,实际上,您无需执行任何操作,可以添加同一服务的越来越多的实例,并且所有实例都将同时旋转秘密,并且所有实例都将使用同样的秘密,因此轮换过程实际上是无状态的,您可以按比例放大或缩小实例,所有实例将继续能够验证其他实例签名的令牌。

但是当然有一些缺点:

  • 您仍然需要以安全的方式向每个服务共享机密的一部分(大爆炸部分)。 也许使用Kubernetes机密,Hashicorp的Vault,或者如果您不使用微服务,则可以将文件复制到具体位置,并在服务启动和运行时阅读大爆炸部分,然后将其删除。
  • 如果您的物理服务器位于不同的时区,则使用此方法可能会遇到更多问题。 另外,您需要使服务器或多或少同步。 由于您要存储以前的令牌和当前令牌,因此不必在同一秒内同步它们,并且几秒钟的延迟仍然可能没有问题。

因此,我们已经看到了一种非常简单的秘密轮换方式,可以使令牌更安全。 当然,还有其他方法可以做到这一点。 在这篇文章中,我只是解释了我是如何在三年前开发的整体应用程序中做到这一点的,它确实运行良好。

我们不断学习,

亚历克斯

翻译自: https://www.javacodegeeks.com/2018/01/secret-rotation-jwt-tokens.html

jwt令牌

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java-jwt:JSON Web令牌JWT)的Java实现
02-03
Java JWT Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven Central和Bintray上均可用,并且Javadoc发布。 Maven < dependency> < groupId>com.auth0</ groupId> < artifactId>java-jwt</ artifactId> < version>3.12.1</ version> </ d
JWT令牌秘密轮换
最佳 Java 编程
06-08 260
当您使用JSON Web令牌JWT )或需要对有效载荷信息进行签名或加密的任何其他令牌技术时,设置令牌的到期日期很重要,因此,如果令牌到期,则可以假定这可能被视为安全漏洞,您拒绝使用此令牌进行任何通信,或者您决定通过使用新的到期日期更新令牌来启用该令牌。 但是使用某种类型的秘密轮换算法也很重要,因此用于签名或加密令牌秘密会定期更新,因此,如果该秘密受到威胁,则此密钥泄漏的令牌会更...
21-JWT令牌认证与置换
yangcan741147的博客
04-12 252
JWT令牌的认证与置换 令牌的产生是在具有登录服务的微服务上,而令牌的校验是在网关服务上对其进行校验 网关校验JWT 在网关过滤器IdentityAuthFilter中 /** * 具体的过滤器规则 * @return * @throws ZuulException */ @Override public Object run() throws ZuulException { System.out.println("执行过滤方
Java JWT:用于Java和Android的JSON Web令牌
Harry的博客
06-07 1032
JWT根据维基百科的定义,JSON WEBToken(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。已签名JWT的压缩表示形式是一个由三部分组成的字符串,每部分由一个. :eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJK...
Java JWTJava的JSON Web令牌 学习与研究
manba
09-23 231
目录Java的JSON Web令牌一、什么是JWT二、JWT的组成形式 Java的JSON Web令牌 一、什么是JWT JWT是一种以紧凑,可验证的形式在两方之间传输信息的方法 在JWT主体中编码的信息位称为 claims。JWT的拓展形式为 JSON格式,因此每个 claim 都是JSON 对象中的键 JWT 可以被加密签名(使其成为JWS)或被加密(使其成为JWE) 这为JWT的用户增加了一...
JWT 实战教程_jwt_
10-01
Header通常包含令牌类型("typ"为JWT)和算法(如"HMAC SHA256")。Payload则包含声明(Claims),这些声明可以是关于用户的信息,比如ID、用户名等,但不应包含敏感信息。Signature是前两部分用秘钥进行编码后的...
auth-jwt:一个通过逆向工程学习JWT的演示
02-05
玩转配置阅读每页的提示,获得更多资源,以深入了解概念文献资料如果您想扩展代码以获得更多功能,参考文献关于代币密码学使JWT失效只需从客户端删除令牌创建令牌黑名单只需保持令牌到期时间短并经常轮换它们即可...
jwt:使用JWT进行SmoothJS身份验证
04-01
此外,为了增强安全性,可以使用HTTPS以防止令牌被拦截,以及定期更新密钥(密钥轮换)。还可以考虑使用Refresh Tokens策略,当JWT过期时,用户可以通过刷新令牌获取新的JWT,而无需重新登录。 总的来说,JWT提供了...
gdir:具有服务帐户(SA)轮换支持的Google云端硬盘目录!
02-11
支持带有OAuth2令牌的用户帐户(UA)和带有JWT令牌的服务帐户(SA)。 无限账户轮换算法。 不再出现403错误! 每1分钟选择10个帐户的候选窗口,然后针对每个请求从该窗口中随机选择一个帐户。 列出带有页面令牌的...
苹果登录使用Apple服务端验证登录-JAVA源码
01-20
本知识点将深入探讨如何在后端服务器上使用Java实现Apple服务端验证登录的过程,以及如何对苹果授权登录令牌JWT)进行校验。 首先,理解Apple登录流程的关键在于Apple的OAuth 2.0和JSON Web Tokens (JWT)。当用户...
Laravel开发-api-guard
08-27
例如,使用JWT时,可以调用`JWT::encode()`生成JWT令牌。 4. **验证API请求** 当客户端发起API请求时,需要在请求头中包含API Key。Laravel通过中间件检查每个请求的API Key,并验证其有效性。对于JWT,这通常涉及...
Api接口TOKEN+签名安全.zip
11-26
- 定期更新和轮换密钥,增加安全性。 - 对错误信息进行模糊处理,防止攻击者获取过多信息。 综上所述,"Api接口TOKEN+签名安全.zip"可能包含的示例代码和文档会涵盖如何在Web API中集成和实施这些安全机制,以...
scala-oauth2-provider:用Scala编写的OAuth 2.0服务器端实现
02-05
- 使用JWT(JSON Web Tokens)作为访问令牌,它们包含过期时间,可以减少服务器的负载。 - 分离授权和资源服务器,提高系统的可扩展性和安全性。 **总结** `scala-oauth2-provider`为Scala开发者提供了一个强大且...
backup-repository:备份存储库-本地或云上的共享备份存储。 实现严格的权限。 极低的资源需求-轻巧
03-13
JSON API ,JSON Web令牌JWT),该API的SWAGGER文档 在客户端,备份是即时进行的,您不需要额外的磁盘空间来临时存储 有关安装,指南和更多信息,请查看文档: : 服务器要求: 廉价的VM-至少0.5个v
empregonacrise-api:API权限
02-21
在API上下文中,这通常通过令牌(Token)实现,比如JSON Web Tokens (JWT)。JWT包含三个部分:头部(Header)、负载(Payload)和签名(Signature)。当用户登录时,服务器会生成一个JWT并返回给客户端,客户端随后...
JWT令牌
qiumin的博客
07-14 3280
jwt令牌,前后端分离场景中常用于不同系统的信息交换,效率高于sesion
java 令牌解析_Java JWT令牌机制
weixin_33262687的博客
03-07 1045
JWT 简单介绍全称 Json Web Token 致力于网络安全的一套Json开放标准主要流程将用户部分信息进行加密,生成一套令牌,存放于客户端客户端发起请求时,带入此令牌,交由服务端识别令牌真伪服务端校验完成,开放部分权限,允许接口请求数据优点:无需存放于服务端,极大减轻服务端压力服务端安全性,较有提升(本来就是干这个的)不限定语言,依赖于Json的流通性内容介绍header 声明加密签名的算...
jwt 私钥_浅析JWT
weixin_35835184的博客
12-30 3368
点击?蓝色“深入原理”,关注并“设为星标”技术干货,第一时间推送1 JWT原理介绍 1、JWT 的原理JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。{ "姓名": "张三", "角色": "管理员", "到期时间": "2020年9月1日0点0分"}以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用...
java苍穹外卖项目实战四】JWT令牌技术(完善登录功能)
最新发布
小林的博客
03-22 1692
JWT全称:JSON Web Token (官网:https://jwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。
onlyoffice jwt令牌配置
11-07
onlyoffice是一款开源的办公套件,支持多人协同编辑文档、表格和幻灯片。JWT令牌是一种用于身份验证的标准,它可以在不同的应用程序之间安全地传递信息。在onlyoffice中,JWT令牌可以用于用户身份验证和授权访问onlyoffice API。下面是配置JWT令牌的步骤: 1. 在onlyoffice中创建一个JWT令牌。在onlyoffice的管理面板中,选择“安全性”选项卡,然后选择“JWT令牌”选项卡。在这里,您可以创建一个新的JWT令牌,并设置其有效期和权限。 2. 将JWT令牌添加到onlyoffice的配置文件中。在onlyoffice的配置文件中,找到“JWT”部分,并将您的JWT令牌添加到其中。确保您的JWT令牌与onlyoffice的配置文件中的其他设置相匹配。 3. 配置onlyoffice API以使用JWT令牌。在onlyoffice的管理面板中,选择“API”选项卡,然后选择“JWT令牌”选项卡。在这里,您可以配置onlyoffice API以使用您的JWT令牌进行身份验证和授权访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值