JWT的问题研究和解决方案

最新推荐文章于 2024-04-26 09:10:54 发布
最新推荐文章于 2024-04-26 09:10:54 发布
阅读量691 收藏 6
点赞数
分类专栏: javaWeb技术 springboot 微服务 文章标签: java 分布式 jwt session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaokk_git/article/details/118605164
版权

JWT的问题研究和解决方案

个人博客传送门

JWT:

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。由三部分组成

  1. 头信息(签名算法和填充等)
  2. 负载内容(认证信息)
  3. 签名数据(基于签名算法对数据的处理后的结果)

优点:

  1. 轻量级
  2. 无状态
  3. 多服务端解析(跨服务端,可以在多服务之间进行认证)
  4. 携带主要认证信息(可以直接从token中拿到一些信息)

缺点:

  1. 改密
  2. 续签
  3. 退出登录
  4. 包含认证信息(认证信息直接base64编码,敏感信息容易被获取到)

基于上面的优缺点,衍生出来了以下的一些问题,所以需要对认证的流程进行改造:

  1. 续签:因为浏览器断不进行存储所以对于续签操作无法进行只能重新获取
  2. 改密和退出:导致了退出和改密之后的token仍可使用,有被重放攻击的危险
  3. 登陆有效期的问题: 可以根据freshToken维护一个登录的有效期,在该期间可以直接认证
一、认证流程图
1.正常流程
客户端 服务端 JwtBuilder 登录 验证身份信息 生成token 携带关键信息生成token 返回生成的token 返回给客户端进行缓存 认证失败(账号或密码错误) alt [身份验证成功] [身份验证失败] 客户端 服务端 JwtBuilder
2.改进流程
客户端 服务端 JwtBuilder Redis 登录 验证身份信息 生成token 携带关键信息生成token 返回生成的token 对当前的token生成对应的refresh Token 将生成的token和refresh Token对应存储 返回给客户端进行缓存 认证失败(账号或密码错误) alt [身份验证成功] [身份验证失败] 客户端 服务端 JwtBuilder Redis
二、续签流程

按照jwt的协议,没有续签的能力,只能重新获取票据

  1. 客户端根据过期时长,(eg:2小时),即将过期之前进行重新获取一次票据
  2. 后端根据已经过期,然后根据携带的freshToken进行续签
客户端 服务端 Redis JwtBuilder 定时任务进行倒计时 调用刷新接口重新获取refreshToken和token 返回服务器端 判断token是否过期 返回过期的返回值,前端进行捕捉 调用刷新接口重新获取refreshToken和token alt [前端主动记录时间] [后端返回过期结果] 验证token和refreshToken的合法性 返回验证结果 将旧的过期的token加入到黑名单(并且设置过期时长) 调用生成token和refreshToken 返回生成的token和refreshToken 将生成的token和refresh Token对应存储 返回给客户端进行缓存 客户端 服务端 Redis JwtBuilder
三、改密和退出登录问题
客户端 服务端 Redis 发送退出/改密请求 判断token是否有效 改密/退出操作 将当前的token加入到黑名单中 返回业务操作的结果 返回业务操作的结果 alt [有效] [无效/过期] 客户端 服务端 Redis
四、验签流程
客户端 微服务网关 Redis 应用 服务端 发送接口请求 判断是否存在黑名单中 解析token放行 访问应用 返回应用的结果 返回验签失败的提示 alt [不存在] [存在] 客户端 微服务网关 Redis 应用 服务端
五、注意事项
  • token中不能存入敏感信息(建议userId标识)
  • jwt生成的时候可以采用对称/非对称加密(密钥难度建议安全系数高)
  • 认证接口进行限流(防止重新调用接口,进行试错)
  • token和refreshToken需要进行一一对应绑定(建议refreshToken用加密算法实现)

在这里插入图片描述

养码一生
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JWT 解决的问题和实现方式
tuoxia7735的博客
08-10 1126
目前大型系统会包含多个项目,希望能在一个项目,或一个地方登陆,该系统中所有的可信项目都可以免于登陆。而第三方认证登录是实现单点登录一个比较好的方式。第三方登录,是指自己的本系统不提供登陆功能,不需要用户注册时填写各项信息,而是对接当前第三方用户量比较大的应用,比如微信,来完成认证登陆。一旦完成认证登陆后,微信会把用户在微信的信息,同步到自己的系统中。这样,即免于自己实现登陆,也免于自己实现用户信息注册。...............
JWT的由来及解决的问题
weixin_45346741的博客
10-12 3125
JWT的由来及解决的问题 1 JWT是什么? SON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3 JWT的工作原理 ...
【SSO单点登录02】JWT的使用及遗留的问题
m0_63546281的博客
04-15 228
本篇基于使用JWT解决session带来的诸多问题
JJwt耗时分析及优化
city1993的博客
11-17 1138
1 问题 在tomcat nio的框架下,每个请求都会有一个单独的tomcat 线程对请求进行处理。Arthas观察发现,在请求中如果有jjwt的签名,有的请求耗时会非常高,高到3s ~ 4s. 查看源码,jjwt的签名方法compact,有一处源码如下 // io/jsonwebtoken/impl/DefaultJwtBuilder.java @Override public String compact() { if (this.serializer
JWT安全漏洞以及常见攻击方式
最新发布
zz12345600354的博客
04-26 909
JWT即Json WebToken的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求时用作身份认证。使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。仅需要对该Token正确性进行校验即可,这就意味着基于token认证机制的应用,不需要去考虑用户在哪一台服务器登录了,为应用的扩展提供了便利。新技术带来便利的同时也会带来新的安全问题,如果JWT本身安全存在问题,那么整个身份认证机制就会得不到保障。JWT由三部分组成,类似于。
jwt认证授权方案优化
最爱下雨天
11-01 702
jwt是保存在客户端的字符串,里面携带了用户的一些基本信息,每次请求时候由客户端携带jwt token去后端请求接口。 区别于cookie-session的鉴权方式,在jwt鉴权中,仍然存在一定的身份认证漏洞; 一般jwt鉴权认证过程可以描述如下: 1 用户登录通过系统的认证后,系统颁发jwt令牌给该用户,用户将该jwt存储起来,可存放在cookie,header,或者localstorage等; 2用户发送请求,请求携带上系统颁发的jwt去请求服务; 3服务端解析该jwt令牌,若是解析且验证通过,将解析后
JWT
weixin_43654482的博客
10-11 274
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 3.1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "...
微服务的10个挑战和解决方案.docx
10-26
微服务架构作为一种现代化的软件开发方法,通过将大型应用程序拆分为小型、独立的服务,促进了敏捷性和可扩展性。然而,采用微服务也带来了一...持续的研究和社区贡献将进一步完善这些解决方案,推动微服务架构的发展。
JWT Token生成及验证(源码)
04-12
这些是Visual Studio的解决方案文件和用户选项文件,分别包含了项目的配置信息和用户特定的设置。打开.sln文件可以在Visual Studio中加载整个项目,而.v11.suo文件是用户设置,通常不包含源代码。 9. packages: 这...
springboot-jwt-demo.zip
08-18
SpringBoot结合SpringSecurity和JWT(JSON Web Token)的实现是一个常见的Web应用安全解决方案。这个"springboot-jwt-demo.zip"项目提供了一个实例,演示了如何在SpringBoot应用中集成这两种技术,实现用户登录认证...
jwt培训.doc
12-25
7. **消费者购买动机**:JWT区分了四种主要的购买触发因素:日用品需求、冲动购买、解决问题和生活方式改变。理解这些动机对于制定有针对性的广告策略至关重要。 8. **消费者需求满足**:消费者购买行为可能出于...
spring_security_jwt
02-23
首先,Spring Security是Spring框架的一部分,专注于提供全面的安全解决方案,包括身份验证、授权和访问控制。它通过在应用程序入口点拦截请求,检查用户凭证,并决定是否允许访问资源。 JWT,全称为JSON Web Token...
【渗透测试】JWT令牌漏洞攻击
网络安全从业者的学习笔记
06-05 895
JSON Web Token(JWT),是一种用户身份凭证,常用作身份验证、会话处理和访问控制机制。若能控制JWT,则有可能造成身份伪造等漏洞攻击。
ctfhub 技能树 ——JSON Web Token 弱密钥
m0_62879498的博客
04-01 1904
ctfhub 技能树 ——JSON Web Token 弱秘钥 如果JWT采用对称加密算法,并且密钥的强度较弱的话,攻击者可以直接通过蛮力攻击方式来破解密钥。尝试获取flag 和 JSON Web Token 无签名一样,我们使用 admin 和 123456 进行登录查看 发现,和上一关的登录界面相似 我们 使用 Burip suite 进行抓包查看 本关和上一关不同的是 本关不能使用 none算法 换句话说我们需要知道签名的密匙,在关卡一开始就提示我们:JWT采用对称加密算法,并且密钥的强度较
浅析JWT安全问题
蚁景网安学院
08-08 1085
前不久研究websocket时,发现port-swigger出了新的靶场,一看是关于jwt安全的,刚好来总结回忆一下。
portswigger JWT attacks
weixin_63231007的博客
11-05 1489
通过 jwk header注入绕过身份验证 不同的是,这个 jku header注入多了一个漏洞利用服务器,因而我们可以通过 把 JWK set放到漏洞利用服务器上,然后通过往header里写入 "jku":"漏洞利用服务器url" 从而实现 jwk 注入到header里,有种远程文件包含的味道。Hashcat 使用 wordlist 中的每个密钥对来自 JWT 的标头和有效负载进行签名,然后将生成的签名与来自服务器的原始签名进行比较。JWE 非常相似,只是令牌的实际内容是加密的,而不仅仅是编码的。
基于Appscan扫描漏洞修复方案
weixin_46659330的博客
07-20 4065
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
一文解决JWT相同签名不匹配问题JWT signature does not match locally computed signature.】
weixin_73077810的博客
08-08 1215
一文解决JWT相同签名不匹配问题JWT signature does not match locally computed signature. JWT validity cannot be asserted and should】
华夏标准信用金融信息平台技术研究与实施方案
金融信息服务平台项目技术研究方案详细探讨了构建一个高效、安全且用户友好的金融信息服务平台的各个方面。...通过遵循此方案,公司能够高效地开发出一个符合金融行业需求且具有高度安全性、稳定性和扩展性的解决方案
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值