【Java安全&JWT安全】

最新推荐文章于 2024-08-02 07:00:00 发布
最新推荐文章于 2024-08-02 07:00:00 发布
阅读量227 收藏 1
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44032232/article/details/112735314
版权

文章目录

0x001 什么是JWT?

JSON Web Token(JSON Web令牌)是一种跨域验证身份的方案。JWT不加密传输的数据,但能够通过数字签名来验证数据未被篡改。

JWT组成

JWT分为三部分,头部(Header),声明(Claims),签名(Signature),三个部分以英文句号.隔开。JWT的内容以Base64URL进行了编码。

头部(Header)

{
  "alg":"HS256",
  "typ":"JWT"
}

# alg
是说明这个JWT的签名使用的算法的参数,常见值用HS256(默认),HS512等,也可以为None。HS256表示HMAC SHA256。
# typ
说明这个token的类型为JWT

声明(Claims)

{
  "exp": 1416471934,
  "user_name": "user",
  "scope": [
    "read",
    "write"
  ],
  "authorities": [
    "ROLE_ADMIN",
    "ROLE_USER"
  ],
  "jti": "9bc92a44-0b1a-4c5e-be70-da52075b9a84",
  "client_id": "my-client-with-secret"
}

# JWT固定参数有:
# iss:发行人
# exp:到期时间
# sub:主题
# aud:用户
# nbf:在此之前不可用
# iat:发布时间
# jti:JWT ID用于标识该JWT

签名(Signature)

服务器有一个不会发送给客户端的密码(secret),用头部中指定的算法对头部和声明的内容用此密码进行加密,生成的字符串就是JWT的签名。

在这里插入图片描述
在这里插入图片描述
https://jwt.io/

使用jwt登录时的验证过程

1、用户端登录,用户名和密码在请求中被发往服务器
2、(确认登录信息正确后)服务器生成JSON头部和声明,将登录信息写入JSON的声明中(通常不应写入密码,因为JWT是不加密的),并用secret用指定算法进行加密,生成该用户的JWT。此时,服务器并没有保存登录状态信息。
3、服务器将JWT(通过响应)返回给客户端
4、用户下次会话时,客户端会自动将JWT写在HTTP请求头部的Authorization字段中
5、服务器对JWT进行验证,若验证成功,则确认此用户的登录状态
6、服务器返回响应

在这里插入图片描述

0x002 如何攻击

攻击的两种方式:

  • 有密钥
  • 无密钥

在这里插入图片描述
无密钥攻击

从上面我们可以知道签名是根据头部中的alg加密算法进行加密生成的,而alg参数是可控的,我们可以将它改为none,也就是不使用签名。签名主要用于验证 token是否有效,是否被篡改。

在这里插入图片描述
在这里插入图片描述

在HTTP传输过程中,Base64编码中的"=","+","/"等特殊符号通过URL解码通常容易产生歧义,因此产生了与URL兼容的Base64 URL编码

修改后生成的token,后面别忘记加点

ewogICJhbGciOiAibm9uZSIsCiAgInR5cCI6ICJKV1QiCn0.ewogICJzdWIiOiAiMTIzNDU2Nzg5MCIsCiAgIm5hbWUiOiAiSm9obiBEb2UiLAogICJpYXQiOiAxNTE2MjM5MDIyCn0.

如果生命中有可以修改的相关参数,修改后生成token,带着新生成且没有签名的token请求即可。

这里注意一下 我们修改alg的加密值为none是否可以验证成功,取决于后端是否根据该值进行的验证。

未完待续。。。。。。

多学点技术
关注
专栏目录
Java安全&JWT安全
ssrf
02-15 126
Web攻防--JAVAWEB项目&JWT身份攻击&组件安全&Python考点&CTF与CMS-SSTI模版注入&PYC反编译
weixin_68243135的博客
11-15 552
WEB攻防--JWT--JAVAWEB项目--SSTI模板注入
Java JWT
XY02120624的博客
02-17 452
Java JWT 笔记
什么是JWT(JSON WEB TOKEN)
weixin_34280237的博客
11-18 285
转自于:http://www.jianshu.com/p/576dbf44b2ae 什么是JWT Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供...
Java中的单点登录实现:OAuth2与JWT
最新发布
微赚开发者技术分享博客
08-02 619
单点登录(Single Sign-On, SSO)是一种认证机制,允许用户在多个应用系统中使用一个账户登录一次,即可访问所有相互信任的应用系统。通过配置授权服务器、资源服务器、用户服务和安全配置,我们实现了一个简单且安全的RESTful微服务。OAuth2(Open Authorization)是一个用于资源授权的开放标准,允许第三方应用以有限的访问权限访问用户的资源,而无需将用户的凭据暴露给第三方。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!
java-jwt
qq_29799655的博客
05-15 1064
目录一. JWT 基础解释二. JWT Token 组成三. JavaJWT1. java-jwt2. jjwt-root三. 实际开发中 JWT 的使用 一. JWT 基础解释 先了解几个问题 JSON数据使用base64url编码,只对JSON数据是先扁平化处理再用64个可读无冲突字符来表达,没有加密效果 SHA256的摘要只是为JSON数据生成一个“指纹”,防止被篡改,属于完整性范畴,也无任何加密效果 摘要不等于签名,签名是用私钥加密摘要,默认情况下Token本身并没有任何加密机制,它依
Java - JWT
A_bad_horse的专栏
01-02 461
Java - JWT
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
第40天:JAVA安全-JWT安全及预编译CASE注入等1
08-03
总之,Java安全不仅涉及到JWT的正确使用,还包括对SQL注入等常见攻击的防范。开发者应了解这些威胁并采取适当措施,如使用预编译的SQL语句、设置合理的JWT过期时间和避免在JWT中存储敏感信息,以保障应用的安全
JAVA安全-JWT安全及预编译CASE注入
weixin_44532761的博客
07-25 486
小迪 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=39 通过前期WEB漏洞学习,掌握了大部分安全漏洞的原理及利用,但是在各种脚本语言开发环境下,会存在新的安全问题,其中脚本语言类型PHP,Java,Python等主流开发框架会有所差异。 sql注入攻击-预编译机制绕过 Javajwt令牌原理 Javaweb身份验证攻击-JWT修改伪造攻击 Javaweb身份验证攻击 jwt密钥爆破攻击 Javaweb身份验证攻击 jwt修改伪造冒充 Javaweb-
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
Java中使用JWT生成Token进行接口鉴权实现方法 Java中使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWTJWT...
java使用JWT
weixin_45052750的博客
04-07 382
引入依赖 官网上面链接很多java实现,这里使用java-jwt <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> </dependency> ...
Java使用JWT
热门推荐
cxmengxin的博客
07-31 1万+
JWT 一、简介 1、JWT JWT为 Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。 2、JWT结构 JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。 二、依赖 JWT需要两个依赖java-jwt、jjwt <depe
java使用jwt
Linlietao0587的博客
01-27 1747
在一个标准项目,拦截器或者过滤器一定不会少了。有了这些,那必须使用令牌验证了。这里讲解的是jwt 可以去看一下我上一篇文章,使用token和redis验证 1、JWT 1️⃣什么是jwt jwt 全称是 json web token 在网络应用环境声明而执行的一种基于json的开发标准 jwt应用分布式的当点托登录系统,身份提供者和服务者提供者传递认证用户信息 2️⃣jwt认证流程 用户输入用户密码进行登录 服务判断用户登录是否正确 -如正确,则颁发给用户一个token 客户端存token,在以.
Java实现JWT
随便起个不重复的名字
09-21 1394
package com.hthl.jwt; import java.security.InvalidKeyException; import java.security.NoSuchAlgorithmException; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import org.apache.com
java中使用JWT
男儿当自强
01-04 7115
JWT:JSON Web Token,是通过数字签名,以JSON对象为载体在服务间安全传输信息的方式。JWT由三部分组成:头信息、有效载体和签名。头信息包括:令牌类型和签名算法信息;有效载体是使用一个JSON对象作为数据内容,由于只是采用base64运算,并没有进行加密,因此通常存放一些非敏感数据;签名是采用不可逆签名算法对base64后的头信息拼接上点拼接上base64后的有效载体及签名秘钥进行运算得出,防止token信息被篡改,最后生成的Token是由base64后的头信息拼接上点拼接上base64后的
JWT的认识以及使用
weixin_43840538的博客
08-26 264
互联网用户认证一般就是,用户向服务端发送用户名和密码,服务端通过验证后存入session,并向用户返回session_id,写入用户的cookie,而后用户的每次请求都会通过cookie返回一个session_id, 服务器通过这个ID进行身份认证。 问题 :这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据...
JAVA 实现 JWT
weixin_43966635的博客
08-20 2335
引入JWT依赖,由于是基于Java,所以需要的是java-jwt <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 自定义注解用于判断是否需要验证 用来跳过验证的PassToken @.
Java web安全jwt
09-19
Java Web安全中的JWT是一种常用的认证协议。JWT的结构包括头部、载荷和签名。头部包含加密算法和令牌类型等信息,载荷包含具体的用户数据,签名用于验证令牌的合法性。 在Java中实现JWT,可以使用Java JWT库,该库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多学点技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值