jwt如何防止token被窃取_在吗?认识一下JWT(JSON Web Token) ?

最新推荐文章于 2024-02-17 09:32:02 发布
最新推荐文章于 2024-02-17 09:32:02 发布
阅读量1.9k 收藏 1
点赞数
文章标签: jwt如何防止token被窃取

点击上方“方志朋”,选择“设为星标”

回复”666“获取新整理的面试文章

858c9470e8ef8883c3d94059a7de0184.png

作者:是虎子呀 
地址:my.oschina.net/u/4062805/blog/3194697

什么是JSON Web Token 

官网介绍:

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。

尽管可以对JWT进行加密以在各方之间提供保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则将这些声明隐藏在其他方的面前。当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有私钥的一方才是对其进行签名的一方。

emmmm.......balabala一堆文字,那么我们来简单总结下:

JWT是一个JSON信息传输的开放标准,它可以使用密钥对信息进行数字签名,以确保信息是可验证和可信任的。

JWT的结构是什么?

JWT由三部分构成:header(头部)、payload(载荷)和signature(签名)。 以紧凑的形式由这三部分组成,由“.“分隔。

因此,JWT通常如下所示。

xxxxx.yyyyy.zzzzz

让我们把这串奇奇怪怪的东西分解开来:

header

header通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA等等。

例如:

{  "alg": "HS256", "typ": "JWT" }

显而易见,这货是一个json数据,然后这货会被Base64编码形成JWT的第一部分,也就是xxxxx.yyyyy.zzzzz中的xxxxxx。

Payload

这货是JWT的第二部分,叫载荷(负载),内容也是一个json对象,它是存放有效信息的地方,它可以存放JWT提供的现成字段 :

  • iss: 该JWT的签发者。

  • sub: 该JWT所面向的用户。

  • aud: 接收该JWT的一方。

  • exp(expires): 什么时候过期,这里是一个Unix时间戳。

  • iat(issued at): 在什么时候签发的。

举个例子:

{"iss": "www.baidu.com",
"sub": "you","aud": "me",
"name": "456",
"admin": true,"iat": 1584091337,"exp": 1784091337,
}

这货同样会被Base64编码,然后形成JWT的第二部分,也就是xxxxx.yyyyy.zzzzz中的yyyyyy。

Signature

这是JWT的第三部分,叫做签名,此部分用于防止JWT内容被篡改。将上面的两个编码后的字符串都用英文句号.连接在一起(头部在前),就形成了

xxxxxx.yyyyyy

然后再使用header中声明签名算法进行签名。 如果要使用HMAC SHA256算法,则将通过以下方式创建签名:

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

当然,在加密的时候,我们还需要提供一个密钥(secret),我们可以自己随意指定。这样就形成了JWT的第三部分,也就是xxxxx.yyyyy.zzzzz中的zzzzzz。

最后,我们把这三个部分拼在一起,就形成了一个完整的JWT。

下面展示了一个完整的JWT,它先对header和payload进行编码,最后用一个密钥形成了签名。

86e91964d121d20d410d1e8ae6f5289e.png

如果我们想试验一下的话,可以在JWT的官网进行debugger。贴一下官网:https://jwt.io/

ccc8f0780adaf0cc8a11f87973f59aaf.png

JSON Web Token认证流程

fa66c316dba9681474969de34c9327f2.png

什么时候应该使用JSON Web Token?

以下是JSON Web Token 有用的一些情况:

  • 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单一登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。

  • 信息交换:JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确定发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。

那么,有人就会说了,道理我都懂,我应该怎样去实现呢?莫慌。。 

f0c41195e7501c458bd4fd0796f118e2.png

现?

接下来我会用python实现JWT,不想拉仇恨,但是,python大法好啊。。。。

在前后端分离的项目中,我们需要与前端约定一种身份认证机制。当用户登录的时候,后端会生成token,然后返回给前端,前端需要将token拿到并按照一定规则放到header中,在下一次请求的时候一并发送给后端,后端进行token身份校验。

这里我们约定前端请求后端服务时需要添加头信息Authorization ,内容为token。

我用的是fastapi web框架,搭建项目非常快。

from datetime import timedelta, datetimeimport jwtfrom fastapi import FastAPI, HTTPException, Dependsfrom starlette.status import HTTP_401_UNAUTHORIZEDfrom starlette.requests import Request
app = FastAPI()
SECRET_KEY = "sdifhgsiasfjaofhslio" # JWY签名所使用的密钥,是私密的,只在服务端保存ALGORITHM = "HS256" # 加密算法,我这里使用的是HS256@app.get("/")async def root():return {"message": "Hello World"}@app.post("/create_token")def create_token(username,password):if username == "123" and password == "123":
        access_token_expires = timedelta(minutes=60)
        expire = datetime.utcnow() + access_token_expires
        payload = {"sub": username,"exp": expire
                     }# 生成Token,返回给前端        access_token = jwt.encode(payload, SECRET_KEY, algorithm=ALGORITHM)return {"access_token": access_token, "token_type": "bearer"}else:raise HTTPException(status_code=HTTP_401_UNAUTHORIZED,detail="username or password are not true",headers={"WWW-Authenticate": "Bearer"}
        )def authorized_user(token):try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")print(username)if username == "123":return usernameexcept jwt.PyJWTError:raise HTTPException(status_code=HTTP_401_UNAUTHORIZED,detail="认证失败,无权查看",headers={"WWW-Authenticate": "Bearer"},)@app.get("/app")def create_token(request: Request):print(request.headers.get("host"), request.headers.get("Authorization"))
    user = authorized_user(request.headers.get("Authorization")) # 验证Token    if user:return {"username": user,"detail": "JWT通过,查询成功"}

这里,由于现有的JWT库已经帮我们封装好了,我们可以使用JWT直接生成 token,不用手动base64加密和拼接。

测试一下:

启动项目之后,我们打开http://127.0.0.1:8000/docs# ,就会看到以下我们编写好的api:

a291b23329909824beb25cbfbf6b2101.png

首先,我们先验证一下create_token接口

7eec3077c8684c4aa7d2a32f141b3a82.png

当我们输入用户名,密码后,后端进行验证,验证成功后会返回给前端一个token,也就是JWT。当前端拿到这个token之后,下次在请求的时候就必须要带上这个token了,因为前后端已经约定好了。接下来我们试一下:

127a0aeaf2b0ee832b7cfc5fb289c246.png

认证失败???

9ce252d6582d9a4d3f9cca3fd7255d36.png

什么原因导致的呢??让我们点开检查抓一下包看看:

b5a63a2d60e2f35a15bc3486401de3ad.png

恍然大悟,刚才我们说过,前后端事先约定好的,请求的header中一定要带上token,在Authorization ,内容token。我们现在这个请求的header中并没有带上token,那这种debug模式下又是改不了请求header信息的,我们可以使用接口测试工具进行测试,我主推Postman!!!,让我们来试一下:

150576df16352c42e37643451eb342d6.png

至此,JWT介绍以及使用梳理完毕。

热门内容:

如何画出优秀的架构图?

同事埋了个坑:Insert into select语句把生产服务器炸了

经验:一个秒杀系统的设计思考

短短的 RESTful API 设计规范

如何在Java代码中去掉烦人的“!=null”

9d50f151bf1e6e242e7aac54bf91720c.png

最近面试BAT,整理一份面试资料《Java面试BAT通关手册》,覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。

获取方式:点“在看”,关注公众号并回复 666 领取,更多内容陆续奉上。

明天见(。・ω・

weixin_39605455
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT_TOKEN_Application_DOTNET
03-27
JWT_TOKEN_Application_DOTNET
Token泄露引发的问题
赵广陆
02-23 1万+
1 如何防止token劫持或者说是泄露? token肯定会存在泄露的问题。比如我拿到你的手机,把你的token拷出来,在过期之前就都可以以你的身份在别的地方登录。 解决这个问题的一个简单办法 在存储的时候把token进行对称加密存储,用时解开。 将请求URL、时间戳、token三者进行合并加盐签名或者缓存用户的ip地址也是不错的选择,服务端校验有效性。 这两种办法的出发点都是:窃取你存储的数据较为容易,而反汇编你的程序hack你的加密解密和签名算法是比较难的。然而其实说难也不难,所以终究是防君子不防小人的做
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
webapi jwt身份验证请求token(亲测通过)源码
JAVA面试题分享五百二十五:JWT认证绕过的几种基操
之乎者也·的博客
02-17 1060
在这种情况下,攻击者就可以使用众所周知的秘密的单词列表来暴力破解服务器的加密密钥。JWE 也是一样的,只是令牌的实际内容是加密的,而不仅仅是编码的。由于我们知道/dev/null目录是一个空文件,kid的参数改为它后会导致服务器会使用该文件的内容来对JWT签名进行验证,所以我们签名的密钥就是空(Base64加密为`AA==`)如果攻击者生成自签名证书并使用相应的私钥创建伪造的令牌,并将“x5c”参数的值替换为新生成的证书并修改其他参数,即 n、e 和 x5t,那么基本上伪造的令牌将被接受由服务器。
cookie 和 token 都存放在 header 中,为什么不会劫持 token
rqz__的博客
09-14 969
虽然Cookie和Token都存在一定的安全风险,但在合理使用的情况下,采取相应的安全措施可以有效地降低劫持的风险。同时,开发人员也需要注意安全编码实践,避免XSS、CSRF等攻击方式。Cookie和Token都可以存放在HTTP请求的Header中进行传输,但它们有不同的机制来保护安全性,以防止劫持。
nodejs使用JWT(全)
weixin_68658847的博客
01-12 4565
nodejs使JWT(全)
Token防篡改机制-JWT
Zz1366的博客
05-20 1084
jwt
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 4817
防止token伪造、篡改、窃取的解决方案
jwt如何防止token窃取_在吗?认识一下JWT(JSON Web Token)?
weixin_39830588的博客
11-21 1064
什么是JSON Web Token ?官网介绍:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。尽管可以对JWT进行加密以在各方之间提供保密性,但我们将...
保证接口数据安全的10种方案
热门推荐
LoveSummer
07-06 1万+
我们日常开发中,如何保证接口数据的安全性呢?个人觉得,接口数据安全的保证过程,主要体现在这几个方面:一个就是数据传输过程中的安全,还有就是数据到达服务端,如何识别数据,最后一点就是数据存储的安全性。今天跟大家聊聊保证接口数据安全的10个方案。我们都知道,数据在网络传输过程中,很容易被抓包。如果使用的是http协议,因为它是明文传输的,用户的数据就很容易被别人获取。所以需要对数据加密。常见的实现方式,就是对关键字段加密。比如,你一个登录的接口,你可以对密码加密。一般用什么加密算法呢?简单点可以使用对称加密算法
jwttoken 被获取怎么办
萌兔兔MMQ!!
04-12 6769
jwt 签发后,每次请求会续期,如果 token 被抓包后,别人得到后,有没有好的方案解决身份窃取问抗投诉服务器题? 签发 token 的时候加入一些验证信息,比如 IP 如果当前 request IP 和签发时候的 IP 不一致就加 blacklist 里 不嫌麻烦的话,搞一个验签。拿到 token 也没有 ip 这种也想过,不过,做不了,因为,我们是多个子系统的,后端需要请求 uc,那么每次来的都是后端 ip csrf 那种么? 插眼,目前方案是一定时间失效再申请 现在都是 HTTPS,为什么会被抓包呢
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
json web token for C# dll文件,亲测可用,直接添加引用即可
2010考研管理类联考综合能力答案解析.pdf
04-24
考研管理类联考综合能力答案解析,考研真题,考研历年真题,考研管理类联考历年真题,真题解析。
NumPy Matplotlib Matplotlib 是 Python 的绘图库 .zip
04-24
matplotlib绘图 通过 Matplotlib,开发者可以仅需要几行代码,便可以生成绘图、直方图、功率谱、条形图、错误图、散点图等。 Matplotlib基础知识 1.Matplotlib中的基本图表包括的元素 x轴和y轴 水平和垂直的轴线 x轴和y轴刻度 刻度标示坐标轴的分隔,包括最小刻度和最大刻度 x轴和y轴刻度标签 表示特定坐标轴的值 绘图区域 实际绘图的区域 2.hold属性 hold属性默认为True,允许在一幅图中绘制多个曲线;将hold属性修改为False,每一个plot都会覆盖前面的plot。 但是不推荐去动hold这个属性,这种做法(会有警告)。因此使用默认设置即可。 3.网格线 grid方法 使用grid方法为图添加网格线 设置grid参数(参数与plot函数相同) .lw代表linewidth,线的粗细 .alpha表示线的明暗程度 4.axis方法 如果axis方法没有任何参数,则返回当前坐标轴的上下限 5.xlim方法和ylim方法 除了plt.axis方法,还可以通过xlim,ylim方法设置坐标轴范围
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档)
04-24
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 第二章 需求分析 4 2.1可行性分析 4 2.1.1技术的可行性 4 2.1.2经济的可行性 4 2.1.3操作可行性 4 2.2需求调研 4 第三章 数据库设计 6 3.1数据库的分析与设计 6 3.1.1数据库的概念结构设计 6 3.1.2数据表的逻辑结构设计 7 第四章 系统功能实现 8 4.1 系统后台界面 8 4.2书籍类别管理 8 4.3 书籍信息界面 9 4.4竞拍管理界面 9 4.5 微信小程序首页 9 4.6书籍信息添加 10 4.7书籍竞拍界面 11 4.8用户后台界面 11 第五章 系统测试 12 5.1 系统测试的意义 12 5.2 系统测试的内容 12 5.3系统测试结果 12 总结 13
利用openCV控制单片机小车运动轨迹.zip
最新发布
04-24
利用openCV控制单片机小车运动轨迹.zip
基于Python的PCA人脸识别算法的原理及实现代码+文档详解.zip
04-24
基于Python的PCA人脸识别算法的原理及实现代码+文档详解.zip个人经导师指导并认可通过的98分课程设计项目,主要针对计算机相关专业的正在做课程设计、期末大作业的学生和需要项目实战练习的学习者。
@jwt.token_in_blocklist_loader 不会触发 写一个例子给我
03-22
当使用 Flask-JWT-Extended 扩展时,可以通过定义 @jwt.token_in_blocklist_loader 装饰器来实现在 token 被加入黑名单时触发的操作。下面是一个简单的例子: ```python from flask_jwt_extended import JWTManager app = Flask(__name__) app.config['JWT_SECRET_KEY'] = 'super-secret' # 设置 JWT 密钥 jwt = JWTManager(app) @jwt.token_in_blocklist_loader def check_if_token_in_blocklist(jwt_header, jwt_payload): # 在这里实现检查 token 是否在黑名单中的逻辑 # 如果在黑名单中,可以返回 True,否则返回 False return False # 这里返回 False,表示 token 不在黑名单中 ``` 在上面的例子中,我们定义了一个名为 check_if_token_in_blocklist 的函数,并使用 @jwt.token_in_blocklist_loader 装饰器将其注册为 token_in_blocklist_loader。在函数中,我们可以根据 jwt_header 和 jwt_payload 参数实现检查 token 是否在黑名单中的逻辑。如果在黑名单中,可以返回 True,否则返回 False。在这个例子中,我们返回了 False,表示 token 不在黑名单中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值