JWT介绍及演示

于 2023-12-08 17:49:33 发布
阅读量412 收藏
点赞数
文章标签: github java 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58683895/article/details/134884411
版权

JWT

介绍

cookie(放在浏览器)

cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。

cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的

session(放在服务器)

session 从字面上讲,就是会话。这个就类似于你和一个人交谈,你怎么知道当前和你交谈的是张三而不是李四呢?对方肯定有某种特征(长相等)表明他就是张三。

session 也是类似的道理,服务器要知道当前发请求给自己的是谁。为了做这种区分,服务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”,可以有很多种方式,对于浏览器客户端,大家都默认采用 cookie 的方式。

服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。

token

在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。

以下几点特性会让你在程序中使用基于Token的身份验证

  1. 无状态、可扩展

  2. 支持移动设备

  3. 跨程序调用

  4. 安全

jwt(json web token)

image-20231208174146988

JWT(JSON Web Token)由三部分组成:头部(Header)、载荷(Payload)、签名(Signature)。

头部(Header):头部通常由两部分组成,算法类型和令牌类型。

​ 算法类型:指定用于生成签名的算法,例如 HMAC、RSA 或者 ECDSA。

​ 令牌类型:指定令牌的类型,常见的是 JWT。

头部使用 Base64Url 编码表示,并作为整个 JWT 的第一部分。头部的一个示例:

{

“alg”: “HS256”,none

“typ”: “JWT”

}

载荷(Payload):载荷存储了有关用户或实体的声明和其他有关信息。

​ 声明:如用户 ID、角色、权限等信息。

​ 注册声明:包含一些标准的声明(比如发行人、过期时间等)和一些自定义的声明。

载荷也使用 Base64Url 编码表示,并作为整个 JWT 的第二部分。载荷的一个示例:

{

“sub”: “1234567890”,

“name”: “John Doe”,

“iat”: 1516239022

}

签名(Signature):签名是对头部和载荷进行签名的结果,用于验证 JWT 的完整性和真实性。

​ 签名生成方式:将头部和载荷进行 Base64Url 编码后拼接在一起,然后使用指定的加密算法(如 HMAC、RSA)进行签名,将生成的签名添加到 JWT 中。

头部

alg

是说明这个JWT的签名使用的算法的参数,常见值用HS256(默认),HS512等,也可以为None。HS256表示HMAC SHA256。

typ

说明这个token的类型为JWT

payload

image-20231208174325991

签名

服务器有一个不会发送给客户端的密码(secret),用头部中指定的算法对头部和声明的内容用此密码进行加密,生成的字符串就是JWT的签名

通信流程

image-20231208174249484

环境

使用webgoat靶场

使用以下代码拉取环境

java -jar webgoat-server-8.1.0.jar --server.port=8888 --server.address=10.4.7.138

访问该网址进入靶场

http://10.4.7.138:8888/WebGoat/login

本文打的靶场为jwt tokens

image-20231208163922218

4

此处点票点到8

image-20231208164109569

用户为jerry

点击垃圾桶后显示只有admin用户才可以

此处开启bp抓包,

找到刚才发送的post请求包

image-20231208164513479

发给repeater

可以看到这一串jwt

image-20231208164557693

使用jwt.io

将刚才jwt粘贴进去

可以看到右边解码的结果

image-20231208164706930

此处需要将加密方式改为none,admin改为true

使用base64编码完成

image-20231208164907152

image-20231208164943957

去掉等号将结果粘过去到一起

image-20231208165013539

最终使用header和payload部分,包含点

ewogICJhbGciOiAibm9uZSIKfQ.ewogICJpYXQiOiAxNzAyODg5MDQ3LAogICJhZG1pbiI6ICJ0cnVlIiwKICAidXNlciI6ICJKZXJyeSIKfQ.

替换bp中原始部分

发包即可成功

image-20231208165143747

回到网页重新看一下,发现操作完成变成1

image-20231208165221743

5

将它提供的jwt放进去看看

image-20231208171544816

将jwt写入一个文本文件

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJhdWQiOiJ3ZWJnb2F0Lm9yZyIsImlhdCI6MTcwMjAyNjAwNywiZXhwIjoxNzAyMDI2MDY3LCJzdWIiOiJ0b21Ad2ViZ29hdC5vcmciLCJ1c2VybmFtZSI6IlRvbSIsIkVtYWlsIjoidG9tQHdlYmdvYXQub3JnIiwiUm9sZSI6WyJNYW5hZ2VyIiwiUHJvamVjdCBBZG1pbmlzdHJhdG9yIl19

另一个为字典文件

victory
secret1
business
washington

然后使用工具进行爆破

hashcat -m 16500 2.txt -a 3 -w 2 1.txt --force

其中

-m 16500 这里的16500对应的就是jwt的token爆破;

-a 3 代表蛮力破解

-w 3 可以理解为高速破解,就是会让桌面进程无响应的那种高速

2.txt为jwt

1.txt为字典

爆破得到密钥

image-20231208173014689

修改截至时间和username

image-20231208173237853

然后粘贴过去再将密钥换成刚刚爆破出来的

最后得到

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJhdWQiOiJ3ZWJnb2F0Lm9yZyIsImlhdCI6MTcwMjAyNzkwNywiZXhwIjoxNzAyMDMzNTUwLCJzdWIiOiJ0b21Ad2ViZ29hdC5vcmciLCJ1c2VybmFtZSI6IldlYkdvYXQiLCJFbWFpbCI6InRvbUB3ZWJnb2F0Lm9yZyIsIlJvbGUiOlsiTWFuYWdlciIsIlByb2plY3QgQWRtaW5pc3RyYXRvciJdfQ.3IMBgQVgvJzL1m7nE3XLXdfF--ja1ouXcjLNdKqvw5g

然后提交jwt即可

image-20231208174005244

7

image-20231208165810892

第七关要求以tom的身份付款

并且给了日志信息提示,可以看到jwt

image-20231208165948663

粘贴过来可得

image-20231208170042238

会发现这个到期时间已经过期了

image-20231208170249353

这个时间格式是unix纪元时间

使用在线工具获取现在的时间戳,然后base64

image-20231208170625616

eyJhbGciOiJIUzUxMiJ9.ewogICJpYXQiOiAxNTI2MTMxNDExLAogICJleHAiOiAxNzAyMDI2MzYxLAogICJhZG1pbiI6ICJmYWxzZSIsCiAgInVzZXIiOiAiVG9tIgp9.

将该字段的值更改为新的jwt过后即可完成

image-20231208171003749

order libra
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
10-前端显示当前用户-jwt查询接口
minihuabei的博客
08-20 394
2.2.1 需求分析 认证服务对外提供jwt查询接口,流程如下: 1、客户端携带cookie中的身份令牌请求认证服务获取jwt 2、认证服务根据身份令牌从redis中查询jwt令牌并返回给客户端。 2.2.2 API 在认证模块定义 jwt查询接口: @Api(value = "jwt查询接口",description = "客户端查询jwt令牌内容") public interface AuthControllerApi { @ApiOperation("查询userjwt令牌") public JwtR
JWT基础介绍
Alan0517
03-13 2313
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
【接口测试】鉴权初了解
黑黑白白君的博客
06-05 4030
文章目录1.1 什么是鉴权?1.2 常见的鉴权方式1、HTTP Basic Authentication鉴权方式HTTP Basic Authentication鉴权方式的认证过程:HTTP Basic Authentication鉴权方式的注销HTTP Basic Authentication鉴权方式的适用范围2、token鉴权方式token鉴权方式流程:token鉴权方式适用场景*JWT(JSON WEB TOKEN)3、session + cookie鉴权方式session+cookie认证流程:*s
JWT入门指南
白豆五的博客
06-20 2003
JWT(全称:JSON Web Token),通过数字签名的方式,以JSON对象作为载体,在不同的服务终端之间安全的传输信息。JWT 是实现Token无状态会话认证技术的一种标准。 JWT作用:通常用于web应用程序的 身份验证 和 鉴权 。 JWT令牌由Header、Payload、Signature三部分组成,每部分字符串中间用`.` 拼接。JWT令牌的最终格式是这样的: Header.Payload.Signature。
JWT 详解
共勉
07-13 1万+
JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
JWTDemo:JWT演示应用程序
02-21
**JWTDemo:JWT演示应用程序** `JWTDemo-develop`这个文件名暗示这是一个关于JWTJava开发项目。该项目可能包括以下组件: 1. **服务器端**:使用Spring Boot或者类似的Java框架,提供JWT的生成和验证服务。...
JWT Token生成及验证(源码)
04-12
这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:...
jwt-assignment:jwt演示作业
04-29
jwt-assignment jwt演示作业curl生成令牌:curl -H“内容类型:application / json” -X POST -d'{“ password”:“ hardik”,“ userName”:“ hardik”,“ group”:“ admin”}' curl获得管理员访问权限:...
netcoreauth:具有JWT身份验证演示的ASP.NET Core
02-05
带有JWT身份验证演示的ASP.NET Core 框架和SDK 适用于Visual Studio 2017和Visual Studio for Mac兼容性 基于.NET Core 2.0 Swashbuckle.AspNetCore for Swagger API文档 Dapper for ORM MailKit用于发送电子...
JWTDemo:Sprint引导JWT演示
02-09
Sprint Boot JWT演示 认证 curl --location --request POST 'http://localhost:8080/authenticate' \ --header 'Content-Type: application/json' \ --data-raw '{ "username": "foo", "password": "foo" }' 您好...
token 完整图标系列
01-30
近期流行图标,简单朴实,有黑白两种版本,这个系列较为完整
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT详解
m0_61943950的博客
08-03 242
JWT简称JSON Web Token ,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。基于传统的Session认证。
jwt和mysql_JWT与Session比较和作用
weixin_39575047的博客
02-01 71
1. JSON Web Token是什么JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。2. 什么时候你应该用JSON Web Tokens下列场景中使用JSON Web Token是很有用的:Authorization (授权) :这是使用JW...
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 1万+
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
JWT简介& JWT结构& JWT示例& 前端添加JWT令牌功能& 后端程序
qq_73126462的博客
11-07 9885
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
JWT技术的介绍与使用
weixin_44335707的博客
03-19 671
JWT介绍与使用
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 3325
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)
m0_62201229的博客
11-26 2108
JWT的组成,工作原理,优缺点,续签问题等常见问题有较为详细的解析,适合小白快速补充知识
gin jwt 使用
最新发布
03-03
在Gin框架中使用JWT(JSON Web Token)可以实现份验证和...以上代码演示了在Gin框架中使用JWT进行身份验证和授权的基本流程。用户可以通过发送登录请求获取JWT,然后在需要身份验证的路由中将JWT放入请求头中进行验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值