JWT令牌详解

Posted 2023-04-30

参考技术A JWT是JSON Web Token的缩写,是一个轻巧的规范,一个开放的行业标准,它定义了一种简洁的、自包含的协议格式,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的消息.

一个JWT实际上就是一个字符串,它由三部分组成,头部、荷载与签名

头部描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等

例如"type":"JWT","alg":"HS256"

其头部指明了签名算法是HS256算法

HMAC算法(非对称的)

SH256

RSA

荷载就是存放有效信息的地方

定义一个payload:"sub":"1234567890","name":"John Doe","admin":true

签证又由三部分组成,base64加密后的header和base64加密后的payload使用,连接组成的字符串

然后通过header中声明的加密方式进行加盐secret组合加密.

1、jwt基于json,非常方便解析

2、可以在令牌中自定义丰富的内容,易扩张

3、通过非对称加密算法以及数字签名技术,JWT防止篡改,安全性高

4、资源服务使用JWT可不依赖认证服务即可完成授权

JWT令牌较长,占存储空间比较大.

一个公钥对应一个私钥,私钥作为签名给JWT加密,那么这里需要生成与之对应的公钥:

输入密钥库口令: keytool -list -keystore changgou.jks

显示的信息为:

密钥库类型: jks

密钥库提供方: SUN

您的密钥库包含 1 个条目

changgou, 2020-7-28, PrivateKeyEntry,

证书指纹 (SHA1): 45:2E:51:8B:84:86:03:8C:AF:99:14:5F:4F:D6:98:33:39:92:33:79

输入命令后就可以得到公钥:

注释:classPathResource:私钥位置;

new KeyStoreKeyFactory:创建私钥工厂,需要私钥库密码和私钥位置两个参数;

keyStoreKeyFactory.getKeyPair(alias,password.toCharArray):获取keyPair对象,keyPair.getPrivate()即是获取私钥;

根据私钥获取令牌:JwtHelper.encode(JSON.toJSONString(map,new RsaSigner(rsaPrivateKey));

JWT 访问令牌和刷新令牌安全性

【中文标题】JWT 访问令牌和刷新令牌安全性

【英文标题】：JWT Access token and Refresh token security

【发布时间】：2018-10-16 03:15:49

【问题描述】：

我正在为前端 Reactjs 和后端 SpringBoot(REST) 创建一个应用程序。

我想使用 JWT 令牌来保证安全。由于窃取 JWT 刷新令牌可能暗示的安全问题，我想问您以下场景是否有效：

后端

登录时创建访问-JWT 和刷新-JWT 在两个有效负载部分设置相同的唯一 UUID（因此我在它们之间创建了一个“链接”）。 将 refresh-JWT 的 hashCode 保存在 DB 中（以备将来有效性检查） 在正文访问-JWT 和 cookie 刷新-JWT 中作为响应返回。

前端

将访问-JWT 存储在本地存储中 将 refresh-JWT 存储为 cookie

现在，对于来自前端的每个请求，我都会查看两个令牌（标头中的访问 JWT 和作为 cookie 的刷新 JWT）。我检查它们是否具有相同的唯一 UUID。如果他们这样做，我将为他们继续验证过程。

这样做我希望消除 XSS 和 CSRF 攻击，前提是这些攻击不会同时进行。因此，如果 access-JWT 被盗，攻击者将没有 refresh-JWT，反之亦然。

请分享您的想法。谢谢。

【参考方案1】：

您应该避免发明自己的身份验证/会话管理方案，因为微小的细节可能会破坏整个系统的安全性。

引用来自 Auth0 的 Which OAuth 2.0 flow should I use?

此外，应注意，隐式授予不会返回刷新令牌，因为浏览器无法将其保密（请阅读 SPA 和刷新令牌面板了解解决方法）。

我建议使用标准的 OpenID Connect（或 OAuth 2.0）流程 - 在您的情况下是 隐式流程。