揭秘JWT:从CTF实战到Web开发,使用JWT令牌验证
原创
揭秘JWT:从CTF实战到Web开发,使用JWT令牌验证
介绍
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络上安全地传输信息。这种信息可以验证和信任,因为它是数字签名的。JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
「优点」:
- 「无状态」:服务器不需要保存会话信息,减轻了服务器负担。
- 「可扩展性」:易于在分布式系统中使用,支持跨域身份验证。
- 「安全性」:通过数字签名确保信息的完整性和来源可信。
「缺点」:
- 「令牌大小」:由于包含头部、负载和签名,JWT的大小可能相对较大。
- 「性能」:每次请求都需要验证JWT,可能会增加服务器的处理时间。
- 「敏感信息泄露」:虽然Payload部分可以加密,但如果不当处理,仍可能泄露敏感信息。
简单复现
CTFShow-web345
让我们查看网页源码,貌似是告诉我们有这个admin后台页面
抓包
修改请求头为admin/index.php
将第一段进行解码,发现是jwt的第一段编码配置,但是加密方式为None,这段token也没有第三段,只有两段,说明根本没有进行加密
第二段就是payload,元数据
尝试将用户user改为admin获取后台权限
302重定向了
尝试把jwt的配置信息给删掉
成功了
python详解jwt
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络上安全地传输信息。这种信息可以验证和信任,因为它是数字签名的。JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
它的主要应用场景:
- 授权:这是JWT最常见的使用场景。一旦用户登录,每个后续请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录(SSO)是目前广泛使用JWT的一项特性,因为它的开销很小,并且可以轻松地跨域使用。
- 信息交换: JWT是在各方之间安全传输信息的好方式。因为JWT可以被签名,例如,使用公钥/私钥对,你可以确定发送方就是它们所说的那个人。此外,由于签名是使用标头和有效负载计算的,您还可以验证内容是否被篡改。
python代码示例
import jwt
import time
# 设置headers,即加密算法的配置
headers = {
"alg": 'HS256',
'typ': 'JWT'
}
key = 'abcdefghijklmnopqrstuvwxyz'
# 随机的salt密匙,只有token生成者(同时也是校验者)自己能有,用于校验生成的token是否合法
exp = int(time.time()+1) # 设置过期时间, time.time()返回当前时间的时间戳,*1000即可得到毫秒的时间戳
payload = {
'name': 'xiaoyu', # 这个名称可以进行加密
'exp': exp
}
# 配置主题信息,一般是登录成功的用户之类的,因为jwt的主题信息很容易被解码,所以不要放敏感信息
# 当然也可以将敏感信息加密后再放进payload
# 生成token
token = jwt.encode(payload=payload, key=key, headers=headers)
print(token)
# 将token进行解码,第二个参数key用于校验
info = jwt.decode(token, key,algorithms=['HS256'])
print(info)
#等待两秒后再次验证token,因超时将导致验证失败
time.sleep(2)
try:
info=jwt.decode(token, key, algorithms=['HS256'])
print(info)
except Exception as e:
print(e)
info = jwt.decode(token, key, algorithms=['HS256'],options={'verify_signature': False})
print(info)
# 结果
# eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoieGlhb3l1IiwiZXhwIjoxNzE5OTE3NzgwfQ.TGzJclF64WW_Tpxm_p84IYhegL2Pjun5CXbMuizLnzA
# {'name': 'xiaoyu', 'exp': 1719917780}
# Signature has expired
# {'name': 'xiaoyu', 'exp': 1719917780}jwt生成token所需要的字段
JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。
- headers:头部通常包含两部分:令牌的类型(即JWT)和所使用的哈希算法(如HMAC SHA256或RSA)。
- payload:负载包含了Claim,Claim是一些实体(通常指用户)的状态和额外的元数据,有三种类型的Claim:注册Claim、公共Claim和私有Claim。
❝ iss:jwt签发者 sub:jwt所面向的用户 aud:接收jwt的一方 exp:jwt的过期时间,这个过期时间必须大于签发时间 nbf:定义在什么时间之前,该jwt都是不可用的 iat:jwt的签发时间 jti:jwt的唯一标识身份,主要用来作为一次性token,从而回避重放攻击。 ❞
- secret_key: 签名是对Header和Payload的签名,防止数据篡改。首先,需要将Header和Payload使用Base64编码,然后用
.连接,之后使用Header中指定的签名算法(HS256)进行签名。
jwt生成token的过程
由上面的简单示例可以看出,jwt生成token主要由三部分,用.号隔开,分别代表:编码后的headers、payload,以及校验字段
- 通过对
headers的json数据进行base64url编码生成第一部分 - 通过对
payload的json数据进行base64url编码生成第二部分 - 将第一部分和第二部分通过
.拼接起来,然后对拼接后的内容结合签名密钥进行HS256加密生成密文(加密算法可以自己选,默认HS256),然后再进行base64url编码,从而生成第三部分 - 三个部分通过
.拼接起来,作为token
❝ base64url编码:先进行base64编码,然后将其中的
+替换成-、/替换成_,并且最后一般会将=都去掉 ❞
例如,下面是一个加密后的payload
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoieGlhb3l1IiwiZXhwIjoxNzE5OTE3NzgwfQ.TGzJclF64WW_Tpxm_p84IYhegL2Pjun5CXbMuizLnzA
------------------------------------ ---------------------------------------------- -------------------------------------------
-------------- headers ------------- -------- payload --------------------------- --------------- 校验字段--------------------解密后
将各段尝试使用base64进行解密,第一段headers
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
base64解密后:{"alg":"HS256","typ":"JWT"}第二段payload
eyJuYW1lIjoieGlhb3l1IiwiZXhwIjoxNzE5OTE3NzgwfQ
base64解密后:{"name":"xiaoyu","exp":1719917780}第三段校验字段
TGzJclF64WW_Tpxm_p84IYhegL2Pjun5CXbMuizLnzA
base64解密后:Ll�rQz�e������ ���lˢ̹�jwt异常处理
jwt校验抛出的异常类基本都在jwt和jwt.exceptions下,举例:
import jwt
import time
from jwt import exceptions
# 配置第一段
headers = {
'tyb': 'JWT',
'alg': 'HS256'
}
salt = 'demmskfhkjagh' # 随便输入即可
exp = int(time.time() + 1) # jwt过期时间-1为立即失效
payload = { # 你需要加密的数据
'name': 'xiaoyu',
'password': '123456',
'age': '21',
'gender': 'man',
'exp': exp
}
token=jwt.encode(payload, salt, headers=headers)
time.sleep(2)# 延迟2s使token过期
try:
info=jwt.decode(token,salt,algorithms=['HS256'])
print(info)
except exceptions.ExpiredSignatureError:
print('token已过期')
except jwt.DecodeError:
print('token认证失败')
except jwt.InvalidTokenError:
print('非法的token')Web开发中简单示例
传统token
from flask import Flask, request
import json
import uuid
app = Flask(__name__)
db_source = {
'user_table': {
'xiaoyu': {
'pwd': '123456'
}
},
'user_token': {},
'user_info_table': {
'xiaoyu': {
'age': 21
}
}
}
@app.route("/login/<username>/<password>/")
def login(username, password):
if (not username) or (not password):
return {'status': 1, 'code': '400', 'msg': '用户或密码不允许为空!'}
if not db_source['user_table'].get(username, None):
return {'status': 1, 'code': '401', 'msg': '用户不存在!'}
if db_source['user_table'][username]['pwd'] != password:
return {'status': 1, 'code': '402', 'msg': '用户名或密码错误!'}
token = str(uuid.uuid4())
db_source['user_token'][token] = username
return {'status': 1, 'code': '200', 'data': {'token': token}}
@app.route('/user_info', methods=['GET'])
def user_info():
'''查看用户信息,需要和本地保存的token进行校验'''
token = request.args.get('token', None)
if not token:
return json.dumps({'status': 1, 'code': '500', 'msg': 'token不允许为空!'}, ensure_ascii=False)
if not db_source['user_token'].get(token, None):
return json.dumps({'status': 1, 'code': '501', 'msg': 'token校验失败!'}, ensure_ascii=False)
# 当token校验成功则返回用户信息
username = db_source['user_token'][token]
info = db_source['user_info_table'][username]
return json.dumps({'status': 1, 'code': '200', 'data': {username: info}})
if __name__ == '__main__':
app.run(debug=True)测试效果我们的用户名为xiaoyu,密码为123456
可以发现这个基于uuid的token使用过之后没有过期时间,永久的存储非常的不方便,数据库也要新加一个字段token有效期,而jwt可以很好的解决这个问题
基于jwt
import jwt
from flask import Flask, request
import json
import uuid
from jwt import exceptions
app = Flask(__name__)
db_source = {
'user_table': {
'xiaoyu': {
'pwd': '123456'
}
},
'user_info_table': {
'xiaoyu': {
'age': 21
}
}
}
SECRET_KEY = "ljksljfasiieksf"
# @app.route('/create_token/<name>')
def create_token(name):
'''
基于jwt创建token函数
:param name:
:return:
'''
global SECRET_KEY
# 加密配置
headers = {
'alg': 'HS256',
'typ': 'JWT'
}
exp = int(time.time() + 20) # 配置token有效时间为20s
payload = {
'name': name, # 这里只配置用户名或者用户id,防止信息泄露
'exp': exp
}
token = jwt.encode(payload=payload, key=SECRET_KEY, headers=headers)
return token
def validate_token(token):
'''
校验token
:param token:
:return:
'''
payload=None
msg=None
try:
payload=jwt.decode(token,SECRET_KEY,algorithms=['HS256'])
except jwt.DecodeError as e:
msg='token verify failed!' # 错误
except jwt.ExpiredSignatureError:
msg='token lose efficacy!' # 失效
except jwt.InvalidTokenError:
msg='token unlawfulness!' # 非法
return (payload,msg)
@app.route("/login/<username>/<password>/")
def login(username, password):
if (not username) or (not password):
return {'status': 1, 'code': '400', 'msg': 'user or pass is None!'}
if not db_source['user_table'].get(username, None):
return {'status': 1, 'code': '401', 'msg': 'not user!'}
if db_source['user_table'][username]['pwd'] != password:
return {'status': 1, 'code': '402', 'msg': 'username or password error!'}
# token = str(uuid.uuid4())
# db_source['user_token'][token] = username
token=create_token(username)
return {'status': 1, 'code': '200', 'data': {'token': token}}
# eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoieGlhb3l1IiwiZXhwIjoxNzE5OTk1MDM4fQ.siRTK3IKV4uhgFmEUMvfxBfmKqjg7G4B7eeXatP-Q-M
@app.route('/user_info', methods=['GET'])
def user_info():
'''查看用户信息,需要和本地保存的token进行校验'''
token = request.args.get('token', None)
if not token:
return {'status': 1, 'code': '500', 'msg': 'token is NULL!'}
# 校验token,并进行解码
payload,msg=validate_token(token)
if msg:
return {'status': 1, 'code': '501', 'msg': msg}
# 获取解码后的用户名
username = payload['name']
# 从数据源中读取解码后的用户信息
info = db_source['user_info_table'][username]
return {'status': 1, 'code': '200', 'data': {username: info}}
if __name__ == '__main__':
app.run(debug=True)文章参考:https://www.jianshu.com/p/03ad32c1586c
原文链接:https://mp.weixin.qq.com/s/RT2SNHlrCcbA8IazJ6usqQ
本文使用 markdown.com.cn 排版
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
腾讯云开发者
