代码之家  ›  专栏  ›  技术社区  ›  unuser

JWT得到验证,即使我更改了其中的一个字符[重复]

authorization jwt oauth oauth-2.0 go
  •  1
  • unuser  · 技术社区  · 1 年前

    我正在学习JWT。我使用Golang来签署和验证JWT。问题是,当我将已签名JWT的最后一个字符更改为另一个字符时,它仍然会得到验证。

    例如

    以下是我的验证方法:

    func verify(tokenString字符串,hmacSampleSecret[]字节){ 

    parsedToken, _ := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
    if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
        return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
    }
    return hmacSampleSecret, nil
})

if claims, ok := parsedToken.Claims.(jwt.MapClaims); ok && parsedToken.Valid {
    fmt.Println("Token is valid")
    fmt.Println("Claims:", claims)
} else {
    fmt.Println("Invalid token")
}

    }

    以及签名方式: 

    func sign(hmacSampleSecret []byte) {

    token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
        "foo": "bar",
        "nbf": time.Date(2015, 10, 10, 12, 0, 0, 0, time.UTC).Unix(),
    })

    tokenString, _ := token.SignedString(hmacSampleSecret)

    fmt.Println(tokenString) 
        /*
          eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
          eyJmb28iOiJiYXIiLCJuYmYiOjE0NDQ0Nzg0MDB9.
          sO0jEw6kGe-NKa-PiSmYpu70  
        */ 

    verify(tokenString, hmacSampleSecret) // validated

    modifiedToken := tokenString[:len(tokenString)-1] + "1" 
       

    fmt.Println(modifiedToken)

        /*
          eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
          eyJmb28iOiJiYXIiLCJuYmYiOjE0NDQ0Nzg0MDB9.
          sO0jEw6kGe-NKa-PiSmYpu71  
        */

    verify(modifiedToken, hmacSampleSecret) // validated

}

    我刚刚将“0”更改为“1”,它仍然会得到验证。

    我的秘密是:[]字节(“8e94e9111b74b6f22f59a7f8a4e3c3a0”)

    之后,我将声明更改为: 

    claims := jwt.MapClaims{
        "foo": "bar",
        "nbf": time.Date(2015, 10, 10, 12, 0, 0, 0, time.UTC).Unix(),
        "jti": uuid.NewString(),               
        "iat": time.Now().Unix(),              
        "exp": time.Now().Add(time.Hour * 1).Unix(), 
        "iss": "issuer",           
}

    即使最后一个字符被更改,它也不再被验证。是什么导致了这种情况,是标题、声明还是秘密?如何确保未签名的JWT无法得到验证?

    2 回复  |  直到 1 年前
        1
  •  1
  •   zerkms    1 年前

    HS256 使用256位长的签名。

    当256位以64为基数编码时,您最终会得到: PX1fXhDusE5JC3cvktPsO0jEw6kGe-NKa-PiSmYpu70 .

    它有43个字符长。43 x 6=258

    这意味着最后2位未使用。

    这意味着你可以 0 , 1 , 2 3 在那里,它仍然是一个有效的令牌。

        2
  •  -1
  •   Mahendran R    1 年前

    我希望问题是,jwt代币是基于到期时间有效的。即使您更改了密钥,最终的令牌也会被修改,但它确实是一个有效的令牌。也许,如果你想使用它进行类似身份验证的登录,你应该将其存储在DB或本地存储等中,以访问其他文件。

    推荐文章
    Nuñito Calzada  ·  Spring Boot with JWT:访问此资源需要完全身份验证
    1 年前
    Bojidar Kaloyanov  ·  为什么即使有有效的JWT,Spring Boot也会对安全端点的POST请求返回403 Forbidden?
    1 年前
    Ariel Vilche  ·  WebSecurityConfiguration bean Spring引导安全中的自动连线错误
    1 年前
    David  ·  如何修复javax/xml/bind/DatatypeConverter的java.lang.NoClassDefFoundError错误
    1 年前
    Shanxx  ·  我在哪里存储我的jwt以进行授权?
    1 年前
    Andre  ·  AWS Lambda自定义JWT验证
    1 年前
    unuser  ·  JWT得到验证,即使我更改了其中的一个字符[重复]
    1 年前
    Павел Хорольський  ·  错误[ExceptionsHandler]未知身份验证策略“jwt”错误:未知身份验证战略“jwt
    2 年前
    d4ne  ·  节点TS:JWT令牌签名,用于验证客户端和后端之间的身份验证问题
    2 年前
    Ali Rahimi  ·  春季启动中Admin和User的两个不同登录页面
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号