JAVA代码审计-json web token 安全分析

已于 2023-10-23 11:45:24 修改
阅读量420 收藏
点赞数
分类专栏: java代码审计 文章标签: java json 前端 安全
于 2023-10-23 11:45:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelter1234567/article/details/133986221
版权

JWT是包含三个部分json数据类型

  1. header

    alg:设置算法
    cty:内容的类型
    typ:类型
    kid:密钥id
            通常只使用alg和typ,alg默认的是HS256加密 最后,使用Base64 URL算法将上述JSON对象转换为字符串保存,就是完整的Header

  2. payload

    iss:发布人
    sub:主题
    exp:到期时间
    nbf:之前不可用
    iat:发布时间
    jti:jwt的id,用来标识此JWT
    aud:用户
            这些字段是可以自定义的,后面的例子会有具体说明 负载部分也使用Base64 URL算法转换为字符串保存

  3. signatue
    1.先将第一段和第二段的base64拼接起来
    2.对拼接起来的字符串做上边指定的HS256编码(含有指定密钥)
    3.再做base64加密返回

生成 JWT token示例

import java.util.Date;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
​
public class JwtTokenGenerator {
    public static String generateToken(String userId, String issuer, String secretKey) {
        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + 3600000); // 设置过期时间为1个小时后
        Algorithm algorithm = Algorithm.HMAC256(secretKey);//设置算法及密钥
​
        String token = JWT.create()
            .withIssuer(issuer)//发布人
            .withClaim("userId", userId)//数据 "usrid:xxxxx"
            .withIssuedAt(now)//发布时间
            .withExpiresAt(expiryDate)//到期时间
            .sign(algorithm);//
​
        return token;
    }
}

在上面的代码中,我们使用JWT.create()方法创建了一个JwtBuilder对象,并通过调用它的一系列方法(例如,withIssuer、withClaim、withIssuedAt和withExpiresAt)将需要保存在JWT令牌中的信息添加进去。最后,我们使用sign(algorithm)方法将JwtBuilder对象编码为一个JWT字符串

运行结果示例

public class Main {
    public static void main(String[] args) {
        String userId = "123456789";
        String issuer = "myapp";
        String secretKey = "mySecretKey";
​
        String token = JwtTokenGenerator.generateToken(userId, issuer, secretKey);
        System.out.println("Generated Token: " + token);
    }
}

运行上述代码,将会输出类似以下内容的生成的JWT令牌

Generated Token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ.8FSN3Iaa1-1W2CooZTd5q95K7uzJiOqjnpa7TzTg46A

在这个token 中前两个字段可通过base64解码

第一个字段

eyJhbGciOiJIUzI1NiJ9

{"alg":"HS256"}

第二个字段eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ

{"sub":"32147889","iss":"myapp","userId":"1234567890","iat":1633412213,"exp":1633415013}

第三个字段
        但第三个字段为上面的两个数据的HMAC256加密 没有密钥无法解出数据的。功能也很明显,用来验证上述数据的完整性,就是传输的过程中没有被篡改。

        由于这条token是服务端生成的,保存在客户端,验证也是服务端来的。所以只要密钥没有泄露 理论上这样的设计是安全的。

        但是好死不死,web开发人员的开始作妖了。

        漏洞产生的原因就是没有对第三个字段进行验证处理。只用前两个数据,那直接base64就好了,为什么还用JWT呢。

        还有就是虽然做了验证处理但是存在逻辑缺陷。

        还需要注意的是密钥千万不能泄露而且要复杂,密钥一旦泄露,怎么处理都是不安全的。

若密钥太简单存在被爆破的可能,防御也很简单会话结束或过期更换密钥就好了;

昵称还在想呢
关注
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
Java代码审计】失效身份认证篇
大河之犬的博客
01-12 1146
失效的身份认证是指错误地使用应用程序的身份认证和会话管理功能,使攻击者能够破译密码、密钥或会话令牌,或者利用其他开发漏洞暂时或长久地冒充其他用户的身份,导致攻击者可以执行受害者用户的任何操作。失效的身份认证其实是指令牌等设计不合理,为攻击者提供了可乘之机。用户身份认证和会话管理是一个应用程序最关键的过程,有缺陷的设计会严重破坏这个过程。在开发 Web 应用程序时,开发人员往往只关注 Web 应用程序所需的功能。
代码审计-JAVAjavaweb代码审计思路
12-11 3352
代码审计-JAVAjavaweb代码审计思路
Java代码审计&鉴权漏洞&Interceptor&Filter&Shiro&JWT
qq_46081990的博客
12-26 1787
本文深入探讨了当前主流的鉴权方式,包括Interceptor、Filter、Shiro和JWT,并提供了相应的审计思路。作者以实际项目为例,详细介绍了Interceptor鉴权、Filter鉴权、Shiro鉴权和JWT鉴权的审计过程,强调了审计时的关键步骤和代码追溯方法。以NewbeeMall、华夏ERP、Tumo博客和FastCMS为案例,展示了在不同项目的具体应用。文章突出强调了审计的关键点,如InterceptorpreHandle方法、FilterdoFilter方法、Shiro配置信息、J
JavaToken
m0_65732083的博客
06-12 1542
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。基于 Token 的身份验证使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。
代码审计】JWT Token
TeamsSix 的 CSDN 空间
12-14 701
0x00 介绍 JSON Web Token 缩写成 JWT,被用于和服务器的认证场景,这一点有点类似于 Cookie 里的 Session id,关于这两者的区别可以看本文尾部的参考链接。 JWT 由三部分构成,分别为 Header(头部)、Payload(负载)、Signature(签名),三者以小数点分割,格式类似于这样: Header.Payload.Signature 实际遇到的 JWT 一般是这种样子 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIi
JWT——Token认证的两种实现和安全详解
热门推荐
二缺和傻宝宝的博客
06-26 8万+
前言: 最近因为项目需要解决跨域取值的问题,所有考虑到用Token认证做技术支撑点,自己看了许多与之相关的文章,从总结出了以下两个要点(签名和token时间)。在说这两个要点之前先大概简单说一下与之有关的一些问题。 首先,如果你对token认证的知识一点都不了解,那么我觉得这篇文章还不太适合你,因为我在这里不会在把相关的基础知识再说明一遍,因为网上有很多相关的文章,讲的都比较好,我会在文章
JSON Web Token(JWT)详解:实现安全且高效的身份认证,保护用户隐私
JSON Web Token (JWT)是一种开放标准(RFC 7519),用于创建紧凑且安全JSON对象,该对象可以作为在各方之间安全传输信息的凭证。JWT广泛应用于网络安全领域,尤其是在身份认证和授权。 JWT由三个部分组成:...
Java代码审计企业级实战
悦分享
07-15 2593
跨站请求伪造是一种使已登录用户在不知情的情况下执行某种动作的攻击。在/reset接口,因为代码@SessionAttributes("user"),将user对象从ModelMap读出并放入session,因此user的answer=hhd也加入了session。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程执行构造的任意代码。恶意攻击者可以伪造ZIP文件用来描述解压条目大小的字段,因此,getSize()方法的返回值是不可靠的。...
红队专题-漏洞挖掘代码审计-RCE-反序列化
aming小老弟
03-14 1558
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
json web token的简单实现 JAVA
qq_19404533的博客
04-15 6864
1.简介 json web token(JWT)是一种新的用户认证方式,不同与以前的Session. JWT不需要服务器端存储用户信息,当用户登录后,服务器将用户信息放入加密放入token,需要时再通过对token解密获取. 关于更多JWT的介绍请自行搜索,这里提供一篇便于理解的文章: http://www.tuicool.com/articles/uuAzAbU 八幅漫画理解使用JSON
JavaJson web token (JWT)的使用
UserGuan的博客
08-29 2万+
JWT是什么? 使用JWT的好处 使用io.jsonwebtoken包的方式 pom.xml导入的jar包 User实体 JjwtUtil类 TestJjwt测试类 打印的结果 使用com.auth0包的方式 pom.xml文件 User实体使用上面的 JWTInterceptor拦截器 spring-context.xml配置文件 web.xml配置文件 JWTUti......
Json web token的简单实现 JAVA
悟已往之不谏,知来者之可追
02-23 540
1.简介 json web token(JWT)是一种新的用户认证方式,不同与以前的Session. JWT不需要服务器端存储用户信息,当用户登录后,服务器将用户信息放入加密放入tokentoken会被客户端保存),需要时再通过对token解密获取(客户请求时携带token) 2.代码 下面提供一种JWT的简单实现.这个例子实现的功能是: 1) 用户访问login.jsp进行登...
JSON Web Token (JWT)生成Token及解密实战。
Java技术栈,分享最主流的Java技术
01-25 1万+
昨天讲解了JWT的介绍、应用场景、优点及注意事项等,今天来个JWT具体的使用实践吧。 从JWT官网支持的类库来看,jjwt是Java支持的算法最全的,推荐使用,网址如下。 https://github.com/jwtk/jjwt 下面来看看如何使用jjwt来实现JWT token的生成与解密,主要用到sha512算法来演示。 1、导入jjwt的maven包。 depende
java json web token_JAVA结合 JSON Web Token(JWT) 工具类
weixin_36155081的博客
02-16 84
packagecom.fh.util;import io.jsonwebtoken.*;importorg.codehaus.jackson.map.ObjectMapper;importjavax.crypto.SecretKey;importjavax.crypto.spec.SecretKeySpec;importjavax.servlet.http.HttpServletRequest;i...
spring安全验证之jwt(json web token)实践
weixin_34195142的博客
10-10 477
为什么80%的码农都做不了架构师?>>> ...
[JWT][JAVA]JSON Web Tokens的简单使用(java-jwt)
身披白袍的博客
03-12 3455
概括来说,JWT是一种符合RFC 7519工业体系设计的、基于JSON对象的、利用RSA等算法签发的Token框架/标准。
C++学习笔记----8、掌握类与对象(四)---- 不同类型的数据成员(1)
weixin_71738303的博客
10-05 879
c++对于数据成员给了你许多选项。除了在类声明简单的数据成员,可以生成静态数据成员供所有类的对象共享,const成员,引用成员,reference-to-const成员,等等。本节我们解释一下这些不同类型的数据成员的细节。
JDK1.0主要特性
最新发布
FoolRabbit的专栏
10-06 284
JDK1.0主要特性。
使用JSON Web Token 实现登录的Java代码
05-26
使用 JSON Web Token (JWT) 实现登录的 Java 代码如下: 首先,需要引入以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 然后,可以编写一个 `JwtUtil` 类来实现 JWT 的生成和解析: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import java.security.Key; import java.util.Date; public class JwtUtil { private static final Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); public static String generateToken(String subject, long expirationTimeMillis) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + expirationTimeMillis); return Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(key) .compact(); } public static String parseToken(String token) { Claims claims = Jwts.parserBuilder() .setSigningKey(key) .build() .parseClaimsJws(token) .getBody(); return claims.getSubject(); } } ``` 在上面的代码,`generateToken` 方法用于生成 JWT,接受一个 `subject` 参数表示用户 ID,和一个 `expirationTimeMillis` 参数表示过期时间(以毫秒为单位)。`parseToken` 方法用于解析 JWT,返回其的用户 ID。 接下来,可以编写一个简单的登录接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; @RestController public class LoginController { @PostMapping("/login") public ResponseEntity<String> login(@RequestBody User user) { if (authenticate(user)) { String token = JwtUtil.generateToken(user.getId(), 86400000); return ResponseEntity.ok(token); } else { return ResponseEntity.badRequest().build(); } } private boolean authenticate(User user) { // TODO: 实现验证逻辑 return true; } } ``` 在上面的代码,`User` 是一个简单的 Java 类,包含一个字符串类型的 `id` 属性。`login` 方法接受一个 `User` 对象作为参数,调用 `authenticate` 方法进行验证。如果验证通过,则使用 `JwtUtil.generateToken` 方法生成 JWT 并返回;否则返回错误响应。 最后,可以编写一个使用 JWT 进行身份验证的接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestHeader; import org.springframework.web.bind.annotation.RestController; @RestController public class UserController { @GetMapping("/user") public ResponseEntity<String> getUser(@RequestHeader("Authorization") String authorizationHeader) { String token = authorizationHeader.substring(7); String userId = JwtUtil.parseToken(token); // TODO: 根据用户 ID 查询用户信息并返回 return ResponseEntity.ok("User ID: " + userId); } } ``` 在上面的代码,`getUser` 方法接受一个名为 `Authorization` 的请求头,其包含 JWT。首先从请求头获取 JWT,并调用 `JwtUtil.parseToken` 方法解析其的用户 ID。然后根据用户 ID 查询用户信息并返回。 注意,在实际应用,需要对 JWT 进行安全性考虑,比如使用 HTTPS 协议传输、设置较短的过期时间、使用更复杂的密钥等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昵称还在想呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值