JAVA代码审计-json web token 安全分析

已于 2023-10-23 11:45:24 修改
阅读量376 收藏
点赞数
分类专栏: java代码审计 文章标签: java json 前端 安全
于 2023-10-23 11:45:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelter1234567/article/details/133986221
版权

JWT是包含三个部分json数据类型

  1. header

    alg:设置算法
    cty:内容的类型
    typ:类型
    kid:密钥id
            通常只使用alg和typ,alg默认的是HS256加密 最后,使用Base64 URL算法将上述JSON对象转换为字符串保存,就是完整的Header

  2. payload

    iss:发布人
    sub:主题
    exp:到期时间
    nbf:之前不可用
    iat:发布时间
    jti:jwt的id,用来标识此JWT
    aud:用户
            这些字段是可以自定义的,后面的例子会有具体说明 负载部分也使用Base64 URL算法转换为字符串保存

  3. signatue
    1.先将第一段和第二段的base64拼接起来
    2.对拼接起来的字符串做上边指定的HS256编码(含有指定密钥)
    3.再做base64加密返回

生成 JWT token示例

import java.util.Date;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
​
public class JwtTokenGenerator {
    public static String generateToken(String userId, String issuer, String secretKey) {
        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + 3600000); // 设置过期时间为1个小时后
        Algorithm algorithm = Algorithm.HMAC256(secretKey);//设置算法及密钥
​
        String token = JWT.create()
            .withIssuer(issuer)//发布人
            .withClaim("userId", userId)//数据 "usrid:xxxxx"
            .withIssuedAt(now)//发布时间
            .withExpiresAt(expiryDate)//到期时间
            .sign(algorithm);//
​
        return token;
    }
}

在上面的代码中,我们使用JWT.create()方法创建了一个JwtBuilder对象,并通过调用它的一系列方法(例如,withIssuer、withClaim、withIssuedAt和withExpiresAt)将需要保存在JWT令牌中的信息添加进去。最后,我们使用sign(algorithm)方法将JwtBuilder对象编码为一个JWT字符串

运行结果示例

public class Main {
    public static void main(String[] args) {
        String userId = "123456789";
        String issuer = "myapp";
        String secretKey = "mySecretKey";
​
        String token = JwtTokenGenerator.generateToken(userId, issuer, secretKey);
        System.out.println("Generated Token: " + token);
    }
}

运行上述代码,将会输出类似以下内容的生成的JWT令牌

Generated Token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ.8FSN3Iaa1-1W2CooZTd5q95K7uzJiOqjnpa7TzTg46A

在这个token 中前两个字段可通过base64解码

第一个字段

eyJhbGciOiJIUzI1NiJ9

{"alg":"HS256"}

第二个字段eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ

{"sub":"32147889","iss":"myapp","userId":"1234567890","iat":1633412213,"exp":1633415013}

第三个字段
        但第三个字段为上面的两个数据的HMAC256加密 没有密钥无法解出数据的。功能也很明显,用来验证上述数据的完整性,就是传输的过程中没有被篡改。

        由于这条token是服务端生成的,保存在客户端,验证也是服务端来的。所以只要密钥没有泄露 理论上这样的设计是安全的。

        但是好死不死,web开发人员的开始作妖了。

        漏洞产生的原因就是没有对第三个字段进行验证处理。只用前两个数据,那直接base64就好了,为什么还用JWT呢。

        还有就是虽然做了验证处理但是存在逻辑缺陷。

        还需要注意的是密钥千万不能泄露而且要复杂,密钥一旦泄露,怎么处理都是不安全的。

若密钥太简单存在被爆破的可能,防御也很简单会话结束或过期更换密钥就好了;

昵称还在想呢
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT-Json Web Token-目前最流行跨域身份验证解决方案
04-25
JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的intenet服务的认证是通过session进行的,当用户通过了安全认证后,则在服务端的session对象中保存该用户的认证信息,这样该用户对服务的访问被认为是安全的。这种模式的最大问题是没有分布式架构,不方便进行横向扩展,这种模式只适合于单体应用模式。如果需要进行服务集群则需要处理好共享session的问题。 如果一个庞大的系统需要按服务分解为多个独立的服务,使用分布式架构,不方便进行横向扩展,这种模式只适合于单体应用模式。如果需要进行服务集群则需要处理好共享session的问题。 如果一个庞大的系统需要按服务分解为多个独立的服务,使用分布式架构,则这种方式更难处理。使用jwt可以方便的处理上面提到的问题。
代码审计-JAVAjavaweb代码审计思路
12-11 3167
代码审计-JAVAjavaweb代码审计思路
基于 session 和基于 token 的用户认证方式到底该如何选择
weixin_33698823的博客
03-09 1070
2019独角兽企业重金招聘Python工程师标准>>> ...
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 4092
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
JAVA 安全-JWT 安全及预编译 CASE 注入等(40)
san3144393495的博客
06-30 583
在使用参数化查询时,数据库系统不会将参数作为sql语句去执行,他不会将你的参数值当作sql语句去执行,就等于个字符串,没有意义,在参数化查询中,sql语句格式是已经规定好的,要查的数据也固定好了,接受session:这个意思就是他取sql语句不是你发什么他就接受什么,取你s型里面的,类似于cookie的数据,这里的值,一般s型都存储在对方服务器里面,一般不去操作对方服务器,这个s型数据是不可伪造的。在各种语言脚本的环境下,也会产生一些新的漏洞,如果是java又能产生那些漏洞,思维导图里面常规漏洞之前都有;
代码审计】JWT Token
TeamsSix 的 CSDN 空间
12-14 676
0x00 介绍 JSON Web Token 缩写成 JWT,被用于和服务器的认证场景中,这一点有点类似于 Cookie 里的 Session id,关于这两者的区别可以看本文尾部的参考链接。 JWT 由三部分构成,分别为 Header(头部)、Payload(负载)、Signature(签名),三者以小数点分割,格式类似于这样: Header.Payload.Signature 实际遇到的 JWT 一般是这种样子 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIi
JWT——Token认证的两种实现和安全详解
热门推荐
二缺和傻宝宝的博客
06-26 8万+
前言: 最近因为项目中需要解决跨域取值的问题,所有考虑到用Token认证做技术支撑点,自己看了许多与之相关的文章,从中总结出了以下两个要点(签名和token时间)。在说这两个要点之前先大概简单说一下与之有关的一些问题。 首先,如果你对token认证的知识一点都不了解,那么我觉得这篇文章还不太适合你,因为我在这里不会在把相关的基础知识再说明一遍,因为网上有很多相关的文章,讲的都比较好,我会在文章
JWT-JSON Web Token實作分享1
08-08
JWT-JSON Web Token實作分享1
blog-rest-api-nodejs-json-web-token:http
06-25
blog-rest-api-nodejs-json-web-token 博客示例 在帖子中: 去测试: 克隆或下载。 在server.js编辑,在var db添加您的 mongodb URL 进入终端并运行node server 使用 POSTMAN 或其他 http 请求工具执行带有...
js代码-JWT(json-web-token)-认识与学习
07-15
js代码-JWT(json-web-token)-认识与学习
java 框架 接口安全性_谈谈API接口安全性设计思路
weixin_36047554的博客
02-17 374
接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。时间戳...
JavaToken 是什么,有哪些用途
u013749113的博客
05-19 2799
Token 是一种身份验证机制,通常由服务器生成并返回给客户端,客户端在后续的请求中携带 Token,以证明自己的身份。在 Java 中,Token 的应用场景非常广泛,例如用户登录、API 认证、OAuth 授权等等。在用户登录的场景中,服务器通常会在用户登录成功后生成一个 Token,并将 Token 返回给客户端。客户端在后续的请求中携带 Token,以证明自己的身份。服务器会验证 Token 的有效性,并根据 Token 来识别当前登录的用户。
javatoken原理及生成使用机制
weixin_57176230的博客
05-21 7224
常用认证机制介绍 1、HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth 这种认证方法的优点是简单,容易理解。 缺点有: 不安全:认证身份信
jar包增量更新分析
junlaiyan的专栏
05-16 316
借助jdeps分析出jar包的增量文件
java实现拼图小游戏
monkey108的博客
05-16 675
本文主要提供用java实现的拼图小游戏源代码
分布式锁2-Zookeeper分布式锁实战
最新发布
qq_43676797的博客
05-19 153
使用curator操作Zookeeper进行实战;:Apache Curator包含一套高级API框架和工具类,它 是Apache ZooKeeper 的Java 客户端库。
命令执行漏洞(二)
XLbb的博客
05-15 934
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
java数据结构与算法(验证二叉搜索树)
磐门的博客
05-17 279
节点返回空为ture,节点的值不在对应数据大小范围内返回false。将验证二叉搜索树计算同样可以转换为相同子问题,所以比较适合用递归。node为root的左节点时,max更新为root.val。node为root的右节点时,min更新为root.val。
C++ 11
qq_65112813的博客
05-17 685
对于类类型,如果定义了接受。
使用JSON Web Token 实现登录的Java代码
05-26
使用 JSON Web Token (JWT) 实现登录的 Java 代码如下: 首先,需要引入以下依赖: ```xml <groupId>io.jsonwebtoken <artifactId>jjwt-api <version>0.11.2 <groupId>io.jsonwebtoken <artifactId>jjwt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昵称还在想呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值