插件窝 干货文章 安全处理 JWT 身份验证:陷阱和最佳实践

安全处理 JWT 身份验证:陷阱和最佳实践

令牌 strong jwt 负载 336    来源:    2024-10-20

开发现代 web 应用程序时,最常见的身份验证方法之一是使用 json web 令牌 (jwt)。 jwt 很强大,但如果不安全地实施,它们可能会让您的应用程序面临各种风险。在这篇博客中,我将通过 jwt 分析开发人员面临的常见陷阱(ps:我也遇到过......)以及确保整个应用程序安全的最佳实践。

什么是智威汤逊?

jwt 是一个开放标准 (rfc 7519),它定义了一种以 json 对象的形式在两方之间安全传输信息的方法。它最常用于无状态系统中的身份验证。

jwt 由三部分组成:

  1. 标头:包含令牌类型(jwt)和签名算法。
  2. 有效负载:包含声明,例如用户信息、角色和令牌过期时间。
  3. 签名:用于验证token的完整性。

继续查看 www.jwt.io

常见的智威汤逊陷阱

尽管 jwt 简单且强大,但不正确的 jwt 实现可能会导致严重的安全漏洞,以下是我遇到的一些常见陷阱以及改进方法。

将 jwt 存储在本地存储中

陷阱: 由于 jwt 的简单性,许多开发人员将 jwt 存储在本地存储中,但这种方法容易受到 xss(跨站脚本)攻击,即黑客可以轻松地通过您的浏览器窃取该令牌,并可能构成攻击作为一个真实的用户。

解决方案: 将 jwt 存储在仅 http 的 cookie 中,而不是本地存储。 javascript 无法访问这些 cookie,这让黑客的日子变得更加艰难。

没有令牌过期

陷阱:如果创建的 jwt 没有过期时间,则即使在用户注销或令牌被泄露后,它们也可以无限期地使用。

解决方案: 始终在有效负载中设置过期 (exp) 声明。合理的到期时间迫使用户定期刷新令牌,减少潜在令牌滥用的窗口。

例子

var token = jwt.sign({email_id:'123@gmail.com'}, "Stack", {
   expiresIn: '3d' // expires in 3 days
});

暴露有效负载中的敏感信息

陷阱:这是一个非常常见的错误,我仍然容易忘记,jwt 有效负载是 base64 编码的,但未加密,存储敏感信息(如密码或密钥)任何人都可以轻松读取有效负载中的内容,甚至无需密钥!

解决方案: 始终仅在 jwt 负载中存储非敏感、非关键信息,例如用户角色或 id。如果您需要发送敏感数据,请加密整个令牌有效负载。

不当的令牌撤销

陷阱: jwt 本质上是无状态的,因此撤销令牌(例如注销后)可能很棘手。由于没有默认的方法来处理这个问题,我们需要一个自定义的解决方案。如果没有适当的撤销,jwt 将保持有效直到过期,从而允许每个用户同时激活多个 jwt。

解决方案:实施令牌黑名单或使用刷新令牌。注销时将令牌存储在黑名单中,并确保服务器检查每个请求的黑名单。或者,使用短期访问令牌与刷新令牌相结合来强制更频繁地重新身份验证。

学习内容

jwt 是无状态身份验证的优秀工具,但需要谨慎处理以避免引入安全风险。通过避免常见的陷阱并遵循最佳编码实践,我学会了创建安全的身份验证系统,并作为初学者面临所有这些问题。

采取这些步骤不仅可以提高应用程序的安全性,还可以展示您对安全令牌管理的深刻理解——这是开发领域备受追捧的技能。