JAVA代码审计-json web token 安全分析

JWT是包含三个部分json数据类型

  1. header

    alg:设置算法
    cty:内容的类型
    typ:类型
    kid:密钥id
            通常只使用alg和typ,alg默认的是HS256加密 最后,使用Base64 URL算法将上述JSON对象转换为字符串保存,就是完整的Header

  2. payload

    iss:发布人
    sub:主题
    exp:到期时间
    nbf:之前不可用
    iat:发布时间
    jti:jwt的id,用来标识此JWT
    aud:用户
            这些字段是可以自定义的,后面的例子会有具体说明 负载部分也使用Base64 URL算法转换为字符串保存

  3. signatue
    1.先将第一段和第二段的base64拼接起来
    2.对拼接起来的字符串做上边指定的HS256编码(含有指定密钥)
    3.再做base64加密返回

生成 JWT token示例

import java.util.Date;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
​
public class JwtTokenGenerator {
    public static String generateToken(String userId, String issuer, String secretKey) {
        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + 3600000); // 设置过期时间为1个小时后
        Algorithm algorithm = Algorithm.HMAC256(secretKey);//设置算法及密钥
​
        String token = JWT.create()
            .withIssuer(issuer)//发布人
            .withClaim("userId", userId)//数据 "usrid:xxxxx"
            .withIssuedAt(now)//发布时间
            .withExpiresAt(expiryDate)//到期时间
            .sign(algorithm);//
​
        return token;
    }
}

在上面的代码中,我们使用JWT.create()方法创建了一个JwtBuilder对象,并通过调用它的一系列方法(例如,withIssuer、withClaim、withIssuedAt和withExpiresAt)将需要保存在JWT令牌中的信息添加进去。最后,我们使用sign(algorithm)方法将JwtBuilder对象编码为一个JWT字符串

运行结果示例

public class Main {
    public static void main(String[] args) {
        String userId = "123456789";
        String issuer = "myapp";
        String secretKey = "mySecretKey";
​
        String token = JwtTokenGenerator.generateToken(userId, issuer, secretKey);
        System.out.println("Generated Token: " + token);
    }
}

运行上述代码,将会输出类似以下内容的生成的JWT令牌

Generated Token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ.8FSN3Iaa1-1W2CooZTd5q95K7uzJiOqjnpa7TzTg46A

在这个token 中前两个字段可通过base64解码

第一个字段

eyJhbGciOiJIUzI1NiJ9

{"alg":"HS256"}

第二个字段eyJzdWIiOiIzMjE0Nzg4OSIsImlzcyI6Im15YXBwIiwidXNlcklkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTYzMzQxMjIxMywiZXhwIjoxNjMzNDE1MDEzfQ

{"sub":"32147889","iss":"myapp","userId":"1234567890","iat":1633412213,"exp":1633415013}

第三个字段
        但第三个字段为上面的两个数据的HMAC256加密 没有密钥无法解出数据的。功能也很明显,用来验证上述数据的完整性,就是传输的过程中没有被篡改。

        由于这条token是服务端生成的,保存在客户端,验证也是服务端来的。所以只要密钥没有泄露 理论上这样的设计是安全的。

        但是好死不死,web开发人员的开始作妖了。

        漏洞产生的原因就是没有对第三个字段进行验证处理。只用前两个数据,那直接base64就好了,为什么还用JWT呢。

        还有就是虽然做了验证处理但是存在逻辑缺陷。

        还需要注意的是密钥千万不能泄露而且要复杂,密钥一旦泄露,怎么处理都是不安全的。

若密钥太简单存在被爆破的可能,防御也很简单会话结束或过期更换密钥就好了;

你可能感兴趣的:(java代码审计,java,json,前端,安全)