我有一个关于 JSON Web Token (JWT) 的一般性问题。
如果 JWT 通过黑客或物理访问从客户端被盗(例如,它被存储为 cookie 或应用程序的数据库),它可用于发送到服务器,服务器会认为它是合法用户.这是正确的吗?
是否有任何常见或标准的做法来防止这种情况发生,例如,通过从客户端发送设备/浏览器的类型或一些参考代码,服务器检查它是否与生成和存储 JWT 令牌的附加数据相匹配. (但是,我读到标准做法是不在服务器上存储任何内容。)
请告知,因为我需要实现 Java JWT (JJWT)、RESTful Java Jersey 和 Google Web Toolkit。 (我一直在阅读这样的文档:[https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage])。
谢谢!
【问题讨论】:
标签: gwt jwt jersey-2.0 json-web-token jjwt
拥有 JWT 是身份验证的证明。窃取令牌的攻击者可以冒充用户。
因此,请确保令牌安全:
黑名单没有用,因为您不会知道 JWT 已被盗。并且它的使用打破了JWT的优势之一的stateleness
另外可以将 IP 添加到令牌中,但请考虑使用场景,因为它在移动设备或代理后面的系统上可能会出现问题
【讨论】:
在您正在构建 JWT 的客户端上,例如:
byte[] key = getSignatureKey();
String jwt = Jwts.builder().setIssuer("myTestApplication")
.setSubject("myTest")
.setExpiration(expirationDate)
.put("scope", "testing")
.signWith(SignatureAlgorithm.HS256, key)
.compact();
在服务器端,您可以验证 JWT 关于 key 和 到期日期 exp(以及更多,即创建日期,颁发者 iss , 观众aud):
String subject = "notMyToken";
try {
Jws jwtClaims = Jwts.parser().setSigningKey(key).parseClaimsJws(jwt);
subject = claims.getBody().getSubject();
//OK, we can trust this JWT
} catch (SignatureException e) {
//don't trust the JWT!
}
应该通过使用 SSL 来避免窃取 JWT,...但是如果 JWT 被窃取,则存在重放此 JWT 的风险 - 对。这就是jti 的用武之地。
jti (JWT ID) 声明为 JWT 提供唯一标识符。这 标识符值必须以确保存在的方式分配 是一个可以忽略不计的概率,相同的值会被意外 分配给不同的数据对象;如果应用程序使用多个 发行者,必须防止产生的值之间的冲突 不同的发行人也是如此。 jti 声明可用于防止 JWT 被重放。 jti 值是区分大小写的字符串。采用 此声明是可选的。
使用此标识符,您可以识别此 ID 是否已发送(您必须在服务器端将其列入黑名单,这会以某种方式破坏 JWT 的性质)。因为您应该使用到期日期,所以如果到期日期导致 SignatureException,您可以清除 ID。
但是,如果“黑客”从数据库中窃取了 JWT,正如您在问题中所写,除了被盗的 JWT 之外,您可能还有其他问题,因为攻击者还可以窃取其他数据等。
希望这会有所帮助。
【讨论】: