Веб-токен JSON

Веб-токен JSON (JWT, иногда произносится как, то же, что английское слово «jot») - это Интернет-стандарт для создания данных с дополнительной подписью и / или дополнительным шифрованием, полезная нагрузка которых содержит JSON, который утверждает некоторое количество утверждений. Токен подписываются с использованием личного секрета или открытого / закрытого ключа. Например, сервер может сгенерировать токен с утверждением «зарегистрирован как администратор» и предоставить его клиенту. Затем клиент может использовать этот токен, чтобы доказать, что он вошел в систему как администратор. Токены могут быть подписаны закрытым ключом одной стороны (обычно сервером), чтобы эта сторона могла впоследствии проверить, является ли токен законным. Если другая сторона каким-либо подходящим и заслуживающим доверия способом владеет соответствующим открытым ключом, она также может проверить легитимность токена. Маркеры спроектированы так, чтобы быть компактными, URL -безопасными и особенно удобными для использования в веб-браузере единой регистрации ( SSO) контекст. Утверждения JWT обычно могут использоваться для передачи удостоверений аутентифицированных пользователей между поставщиком удостоверений и поставщиком услуг или любого другого типа утверждений в соответствии с требованиями бизнес-процессов.

JWT опирается на другие стандарты на основе JSON: JSON Web Signature и JSON Web Encryption.

• 1 Структура
• 2 Используйте
• 3 Стандартные поля
• 4 Реализации
• 5 Уязвимости
• 6 Ссылки
• 7 Внешние ссылки

{"alg": "HS256", "typ": "JWT"}

{"loggedInAs": "admin", "iat": 1422779638}

HMAC-SHA256 (секрет, base64urlEncoding (заголовок) + '.' + Base64urlEncoding (полезная нагрузка))

Три части кодируются отдельно с использованием Base64url Encoding и объединяются с использованием точек для создания JWT:

const token = base64urlEncoding (header) + '.' + base64urlEncoding (полезная нагрузка) + '.' + Base64urlEncoding (подпись)

Приведенные выше данные и секрет "SecretKey" создает маркер:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI

Этот полученный маркер может быть легко передается в HTML и HTTP.

При аутентификации, когда пользователь успешно входит в систему, используя свои учетные данные, будет возвращен веб-токен JSON, который должен быть сохранен локально (обычно в локальное хранилище или хранилище сеанса, но также можно использовать файлы cookie ) вместо традиционного подхода создания сеанса на сервере и возврата файла cookie. Для автоматических процессов клиент также может аутентифицироваться напрямую, создавая и подписывая свой собственный JWT с предварительно общим секретом и передавая его в службу, совместимую с oAuth, например:

POST / oautdiv class="ht" / token? Content-type: application / x-www-form-urlencoded grant_type = urn: ietf: params: oauth: grant-type: jwt-bearer assertion = eyJhb...

Если клиент передает действительное утверждение JWT, сервер сгенерирует токен доступа, действительный для вызова приложения и передачи его клиенту:

{"access_token": "eyJhb...", "token_type": "Bearer", "expires_in": 3600}

Когда клиент хочет получить доступ к защищенному маршруту или ресурсу, пользовательский агент должен отправить JWT, обычно в заголовке Authorization, используя схему Bearer. Содержимое заголовка может выглядеть следующим образом:

Авторизация: носитель eyJhbGci... ... yu5CSpyHI

Это механизм аутентификации без сохранения состояния, поскольку состояние пользователя никогда не сохраняется. в памяти сервера. Защищенные маршруты сервера будут проверять наличие действительного JWT в заголовке авторизации, и если он присутствует, пользователю будет разрешен доступ к защищенным ресурсам. Поскольку JWT являются самодостаточными, вся необходимая информация имеется, что снижает необходимость многократного запроса базы данных.

Интернет-черновики определяют следующие стандартные поля («заявки»), которые можно использовать внутри набора заявок JWT:

В заголовке JWT обычно используются следующие поля:

.

Существуют реализации JWT для многих языков и фреймворки, включая, помимо прочего:

• .NET (C # VB.Net и т. д.)
• C
• Clojure
• Common Lisp
• Dart
• Elixir
• Erlang
• Go
• Haskell
• Java
• JavaScript
• Lua
• Node.js
• OCaml
• Perl
• PHP
• PL / SQL
• PowerShell
• Python
• Racket
• Raku
• Ruby
• Rust
• Scala
• Swift

веб-токены JSON могут содержать состояние сеанса. Но если требования проекта допускают аннулирование сеанса до истечения срока действия JWT, службы больше не могут доверять утверждениям токена только по токену. Чтобы убедиться, что сеанс, хранящийся в токене, не отменен, утверждения токена должны быть проверены по хранилищу данных . Это делает токены более не безгражданскими, что подрывает основное преимущество JWT.

Консультант по безопасности Тим Маклин сообщил об уязвимостях в некоторых библиотеках JWT, которые использовали поле algдля неправильной проверки токенов. Хотя эти уязвимости были исправлены, Маклин предложил полностью отказаться от поля alg, чтобы предотвратить подобную путаницу при реализации.

При правильном проектировании разработчики могут устранить уязвимости алгоритмов, приняв меры предосторожности:

1. Проверка диска только заголовком JWT
2. Знать алгоритмы
3. Использовать соответствующий размер ключа

Архитектор безопасности программного обеспечения Курт Родармер указывает на дополнительные уязвимости конструкции JWT, связанные с ключами криптографической подписи, и на значительную уязвимость, которая обнаруживает парсер JSON библиотеки для открытия атаки. Это прямой результат выбора JSON для выражения заголовка токена, и его труднее смягчить.

• RFC 7519
• jwt.io - специализированный веб-сайт о JWT с инструментами и документацией, поддерживаемый Auth0
• Spring Boot JWT Auth - Интеграция аутентификации JWT со средой Spring
• JWT Security - Электронная книга по безопасности JWT PDF (на польском языке)
• Зачем нам нужен JWT в современном Интернете - подробная статья по теме с некоторыми историческими соображениями