上文对JWT模块进行了一个简单的分析.这篇文章稍微做出一些深入的了解.

一,Header篡改攻击

因为JWT的Header是强制有效并且是明文传输(Base64URL编码,几乎等同于明文).那么恶意用户可以很容易地用以下方式进行攻击.

假设恶意用户Bob按如下的数据结构伪造Token:

header: {alg:none} payLoad: {user:root}

生成的Token类似:

eyJhbGciOiJub25lIn0.eyJzdWIiOiJ1c2VyMTIzIiwic2Vzc2lvbiI6ImNoNzJnc2IzMjAwMDB1ZG9jbDM2M2VvZnkiLCJuYW1lIjoiUHJldHR5IE5hbWUiLCJsYXN0cGFnZSI6Ii92aWV3cy9zZXR0aW5ncyJ9.

注意这个Token是没有signature字段的,它只有header, payload.这个Token的所用的加密算法是none, payLoad是root用户.如果authentication端的代码不够健壮的话,它有可能直接调用JWT库进行解析,从而让这个请求通过验证.

二, JWT Token生成方法

JWT Token的头部和payload都是按照baseURL64算法转化而来的,可以理解为是明文,所以关键就是signature.

其中一个生成方式如下,这个函数的输入是payload和alg,参数payload实际上就是token的header.payload部分.而alg是生成秘钥所采用的

加密算法,其首先用一个hash类将payload转化为一个hash表,然后调用go语言的库函数.假设加密算法是RS256的话,其最后所调用的

就是go语言的SignPKCS1v15()函数.这个函数干的事实际上就是rsa加密.

  1. func (ctx rsaDecrypterSigner) signPayload(payload []byte, alg SignatureAlgorithm) (Signature, error) {
  2. 	var hash crypto.Hash
  3. 	glog.V(1).Infof("gakki we are trying sign %s\n", string(payload))
  4. 	switch alg {
  5. 	case RS256, PS256:
  6. 		hash = crypto.SHA256
  7. 	case RS384, PS384:
  8. 		hash = crypto.SHA384
  9. 	case RS512, PS512:
  10. 		hash = crypto.SHA512
  11. 	default:
  12. 		return Signature{}, ErrUnsupportedAlgorithm
  13. 	}
  14.  
  15. 	hasher := hash.New()
  16.  
  17. 	// According to documentation, Write() on hash never fails
  18. 	_, _ = hasher.Write(payload)
  19. 	hashed := hasher.Sum(nil)
  20. 	glog.V(1).Infof("the hashed is %#v\n", hashed)
  21. 	var out []byte
  22. 	var err error
  23.  
  24. 	switch alg {
  25. 	case RS256, RS384, RS512:
  26. 		out, err = rsa.SignPKCS1v15(randReader, ctx.privateKey, hash, hashed)
  27. 	case PS256, PS384, PS512:
  28. 		out, err = rsa.SignPSS(randReader, ctx.privateKey, hash, hashed, &rsa.PSSOptions{
  29. 			SaltLength: rsa.PSSSaltLengthAuto,
  30. 		})
  31. 	}
  32.     	if err != nil {
  33. 		return Signature{}, err
  34. 	}
  35. 	glog.V(1).Infof("the out is %#v\n", out)
  36. 	return Signature{
  37. 		Signature: out,
  38. 		protected: &rawHeader{},
  39. 	}, nil
  40. }

三,jwt和tlsv1.2协议之间的区别

tlsv1.2协议是https下层的一个安全协议,它的目标是保证信道上所传输的信息的保密性.

本质上来说,它就是需要将报文进行加密.但是加密过程比较复杂.一个典型的加密过程如下:

a.Bob生成一组RSA秘钥,他将公钥发送给Alice

b.Alice持有一个HMAC秘钥,他在收到Bob发送的公钥后,将HMAC秘钥加密,然后发送给Bob

c.Bob收到Alice的报文后,用他持有的RSA私钥解密,然后这个秘钥加密他想要发送的信息

d.Alice收到报文后用相同的HMAC秘钥解密.从而得到明文.

RSA作为非对称加密算法,它的加密解密较为复杂,需要进行大量的计算,不适合处理https通信.

因此使用RSA算法安全的传输对称加密算法的秘钥,然后再使用对称加密算法完成报文的加密和解密.

由此可见,tlsv1.2协议和jwt协议有着本质的区别.假设恶意用户窃取了tlsv1.2信道上传输的信息,它是无法获得明文的.而

如果恶意用户窃取了jwt协议信道上传输的信息,它可以知道通信双方传递的内容,只是它无法伪造信息而已.

所以jwt协议只能用于身份认证,不能在上面传递敏感信息.

JWT笔记(2)的更多相关文章

  1. JWT笔记

    JWT是一个无状态登录的技术.所谓无状态,是指和传统的session技术相比,服务器端不需要存储用户的信息.在JWT技术中,agent向server请求一个Token. 这个Token由三部分组成,h ...

  2. golang学习笔记10 beego api 用jwt验证auth2 token 获取解码信息

    golang学习笔记10 beego api 用jwt验证auth2 token 获取解码信息 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放 ...

  3. Java架构笔记:用JWT对SpringCloud进行认证和鉴权

    写在前面 喜欢的朋友可以关注下专栏:Java架构技术进阶.里面有大量batj面试题集锦,还有各种技术分享,如有好文章也欢迎投稿哦. image.png JWT(JSON WEB TOKEN)是基于RF ...

  4. (9)学习笔记 ) ASP.NET CORE微服务 Micro-Service ---- JWT算法

    一. JWT 简介 内部 Restful 接口可以“我家大门常打开”,但是如果要给 app 等使用的接口,则需要做权限校验,不能谁都随便调用. Restful 接口不是 web 网站,App 中很难直 ...

  5. Asp.net core 学习笔记 ( identity server 4 JWT Part )

    更新 : id4 使用这个 DbContext 哦 dotnet ef migrations add identity-server-init --context PersistedGrantDbCo ...

  6. JSON Web Token(JWT)学习笔记

    1.JWT 的Token 标准的Token由三个部分并以.(点号)连接方式组成,即 header.payload.signature,如下 eyJhbGciOiJIUzI1NiIsInR5cCI6Ik ...

  7. 关于flask(前后端分离)的后端开发的小白笔记整理(含postman,jwt,json,SQLAlchemy等)

    首先是提醒自己的一些唠嗑: 学会劳逸结合,文档看累了可以看视频,动手操作很关键,遇到问题先动脑子冷静地想,不要跟着步骤都不带脑子,想不出来了再查一查!有时候打出来的代码很虚,但是实践不花钱,实践出真知 ...

  8. go微服务框架Kratos笔记(七)使用jwt认证中间件

    引言 Json web token (JWT) 是一个开放标准(RFC 7519),它定义了一种紧凑的.自包含的方式,特别适用于分布式站点的单点登录(SSO)场景.JWT的声明一般被用来在身份提供者和 ...

  9. 从壹开始前后端分离【 .NET Core2.0 +Vue2.0 】框架之五 || Swagger的使用 3.3 JWT权限验证【必看】

    前言 关于JWT一共三篇 姊妹篇,内容分别从简单到复杂,一定要多看多想: 一.Swagger的使用 3.3 JWT权限验证[修改] 二.解决JWT权限验证过期问题 三.JWT完美实现权限与接口的动态分 ...

随机推荐

  1. BZOJ4894 天赋 【矩阵树定理】

    题目链接 BZOJ4894 题解 双倍经验P5297 题解 #include<iostream> #include<cstring> #include<cstdio> ...

  2. gdb调试的艺术——Debug技巧

    调试的艺术——Debug技巧总结 (本文从写好的wiki里粘出来的,格式稍乱不影响阅读) 用Q+编号代表问题,A+编号代表答案.用这种方式组织.如无特别说明,这些技巧都是针对Visual Studio ...

  3. SHH框架的搭建

    建立一个Web项目,然后导入如下包 l  struts2包:在struts2-blank.war下的lib目录下,以及struts-2.3.15.1\lib下的struts和spring整合的插件包s ...

  4. npm下载包失败的几个原因

    1. 可能是由于网络问题导致下载包失败,因为qiang,所以,直接使用npm有些情况会导致下载包失败,使用cnpm源或者yarn下载等方法可以解决这个问题. 2. 这个包不存在,检查一下包的拼写或者路 ...

  5. 转载~基于比较的排序算法的最优下界为什么是O(nlogn)

    基于比较的排序算法的最优下界为什么是O(nlogn) 发表于2013/12/21 16:15:50  1024人阅读 分类: Algorithm 1.决策二叉树 回答这个问题之前我们先来玩一个猜数字的 ...

  6. python 使用urllib2下载文件

    #! usr/bin/python #coding=utf-8 import urllib2 fp = open('test', 'wb') req = urllib2.urlopen('http:/ ...

  7. 将log4j2的配置文件log4j2.xml拆分成多个xml文件

    在日常的项目开发中,我们可能会使用log4j2分离系统日志与业务日志 ,这样一来,log4j2.xml 这个配置文件可能就会变得非常臃肿.庞大,那么我们可以将这个文件拆分成多个配置文件吗? 答案是肯定 ...

  8. Delphi中的堆,栈

    来自:http://blog.163.com/liang_liu99/blog/static/884152162009111303756371/ --------------------------- ...

  9. ZOJ2112 Dynamic Rankings(整体二分)

    今天学习了一个奇技淫巧--整体二分.关于整体二分的一些理论性的东西,可以参见XRH的<浅谈数据结构题的几个非经典解法>.然后下面是一些个人的心得体会吧,写下来希望加深一下自己的理解,或者如 ...

  10. Bug预防体系

    Web常见产品问题及预防 测试人员在每次版本迭代中,会对项目的整体质量有一个把控,对于项目常见的问题,开发经常犯的错误都会有所了解,为了避免或者减少这样的错误或不规范的事情在发生,测试人员可以整理构建 ...