jwt-go详解

一、jwt构成

JWT（JSON Web Token）是一种轻量级的身份验证方案，它具有可扩展性和易于传输的特点。JWT由三个部分构成：头部(header)，载荷(payload) 和签名(signature)。具体来讲， JWT的格式为”以点号分隔的三部分”：头部.载荷.签名（header.payload.signature）。

头部包含token的类型（即JWT）以及使用的算法。例如：

{
   "alg": "HS256",
   "typ": "JWT"
}

载荷包含JWT的“声明”，例如使用者id (uid)、 用户名、过期时间等。例如：

{
  "uid": "123456",
  "username": "Alice",
  "exp": 1621538243
}

签名部分由前面的两部分加上一个密钥组成，用于保证数据的完整性和真实性。例如，如下sign

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  
  secret)

二、jwt公共密匙如何破解

在jwt中，密钥是一个重要的组成部分，用于保证数据的安全性。一般来讲，我们需要将密钥在服务器端保存并使用。如果密钥泄露，攻击者可能会篡改或伪造有效的token。于是，到底是如何破解密匙的呢？

由于jwt使用三部分组成——header，payload和签名，我们可以很容易地猜出密钥，做到对jwt进行验证。例如，一个具有如下header，payload的JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFt
ZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJ
f36POk6yJV_adQssw5c

我们可以保存header和payload，而不包含签名，然后尝试使用一些最常用的算法来猜出密钥。然而，密钥空间可能非常大，因此这种攻击显然是低效的。更好的方法是使用一些已知的密钥来攻击，并尝试重建相关密钥，或利用一些其他漏洞来获取密钥。

三、jwt工具

许多jwt工具可用于帮助我们创建、签名和验证token。其中包括：

1、jwt-go

jwt-go是golang的一个JWT的实现库，它提供了简单而强大的API，可以用来处理JWT。

使用jwt-go库非常简单。首先，我们需要导入包：

import (
    "github.com/dgrijalva/jwt-go"
)

然后，我们需要创建一个声明集合(Claims)：

type MyClaims struct {
    Example string `json:"example"`
    jwt.StandardClaims
}

最后，我们可以使用MyClaims来创建和解析JWT：

// 创建JWT：
func createJwtToken() (string, error) {
    token := jwt.NewWithClaims(jwt.SigningMethodHS256, MyClaims{
        Example: "abc",
        StandardClaims: jwt.StandardClaims{
            ExpiresAt: time.Now().Add(time.Hour * 24).Unix(),
        },
    })

    return token.SignedString([]byte("secret"))
}

// 解析JWT：
func parseJwtToken(tokenString string) (*MyClaims, error) {
    token, err := jwt.ParseWithClaims(tokenString, &MyClaims{}, func(token *jwt.Token) (interface{}, error) {
        return []byte("secret"), nil
    })

    if err != nil {
        return nil, err
    }

    if claims, ok := token.Claims.(*MyClaims); ok && token.Valid {
        return claims, nil
    }

    return nil, errors.New("invalid token")
}

2、jwt.io

jwt.io是一个在线查询、创建、编辑和解析JWT的工具。

你可以在jwt.io上发送一个包含JWT的请求，并获得对应的解码数据。此外，你还可以在线创建和编辑一个JWT，选择不同加密/解密算法和密钥等。

四、jwt攻击手法

由于JWT的安全性不仅取决于密钥，还取决于生成时间、过期时间等因素，因此攻击者可以利用各种技术进行攻击。以下是一些常见的攻击手法。

1、重放攻击

重放攻击是指攻击者获得了有效的jwt，并多次使用该jwt进行身份验证。对于jwt的使用，一般会将jwt的生成时间和过期时间保存到Claims中，用于验证jwt的有效期。重放攻击者可以通过在有效期内进行重复使用token的方式，避免重新生成token，从而绕过身份验证。

2、字典攻击

字典攻击是指攻击者使用密码字典等工具，通过尝试所有可能的密钥来获取token或解密它。由于token中的签名取决于密钥而不是明文，因此只有获得正确的密钥才能成功解密token。然而，由于密钥空间可能非常大，因此这种攻击大多数时候无法成功。

3、Session劫持

Session劫持是一种攻击方式，攻击者在客户端浏览器上安装恶意代码，以便于窃取用户的Session信息，并利用该信息进行非法活动，例如更改用户的信息、篡改数据等。尽管Session劫持与JWT本身没有关系，但由于JWT在跨域、分布式等场景下使用得到很好，因此常常被用于替代Session认证。

五、jwt攻击

尽管JWT是一种流行的身份验证方式，但它并不是绝对安全的。攻击者可以通过各种技术来破解JWT，从而达到非法访问等恶意行为。以下是一些常见的攻击策略。

1、篡改payload

如果攻击者可以篡改JWT的payload，那么他就能够在未经授权的情况下访问系统。为了防止这种攻击，可以在签名中包含只有服务器可以生成的内容，例如随机数、时间戳等。

2、伪造signature

伪造签名是一种常见的攻击方式。如果攻击者获得了有效的JWT并伪造了签名，那么他就可以在未经授权的情况下访问系统或者获取系统的数据。为了防止这种攻击，可以选择有效的加密算法，并保护密钥，避免泄露。

3、重放攻击

重放攻击是指攻击者获得了有效的jwt并多次使用该jwt进行身份验证。为了防止这种攻击，可以增加时间戳，为token设置过期时间等方式。

六、jwt公钥私钥

密钥是JWT的一个重要组成部分。为了进一步保护jwt的安全性，我们可以使用公钥和私钥的方式来进行加密和解密。具体来说，使用者使用私钥对JWT进行签名，然后将JWT和公钥一起发送到服务器，让服务器使用公钥来验证JWT的有效性。

在jwt-go中，我们可以使用RSA密钥来进行加密和解密。具体来说，需要使用RSAPrivateKey和RSAPublicKey来加载自己的密钥对，例如：

// 加载私钥
privateBytes, err := ioutil.ReadFile("private.pem")
if err != nil {
    panic(err)
}

privateKey, err := jwt.ParseRSAPrivateKeyFromPEM(privateBytes)
if err != nil {
    panic(err)
}

// 加载公钥
publicBytes, err := ioutil.ReadFile("public.pem")
if err != nil {
    panic(err)
}

publicKey, err := jwt.ParseRSAPublicKeyFromPEM(publicBytes)
if err != nil {
    panic(err)
}

使用密钥对来创建和验证JWT：

// Create JWT with RSA256
func createJwtToken() (string, error) {
    token := jwt.NewWithClaims(jwt.SigningMethodRS256, MyClaims{
        Example: "abc",
        StandardClaims: jwt.StandardClaims{
            ExpiresAt: time.Now().Add(time.Hour * 24).Unix(),
        },
    })

    return token.SignedString(privateKey)
}

// Parse JWT with RSA256
func parseJwtToken(tokenString string) (*MyClaims, error) {
    token, err := jwt.ParseWithClaims(tokenString, &MyClaims{}, func(token *jwt.Token) (interface{}, error) {
        return publicKey, nil
    })

    if err != nil {
        return nil, err
    }

    if claims, ok := token.Claims.(*MyClaims); ok && token.Valid {
        return claims, nil
    }

    return nil, errors.New("invalid token")
}

七、jwt功能

尽管JWT被认为是一种轻量级的身份验证方案，但它实际上具有丰富的功能。以下是一些常见的功能：

1、自定义声明

使用者可以在载荷中添加自定义的声明，例如电子邮件地址、电话号码等。这些声明可以由服务器端进行验证，以确保所有的声明都是真实的。

2、过期时间

在生成JWT时，可以设置过期时间，以便在过期后JWT被认为是无效的。在验证过程中，可以使用过期时间来确保JWT的有效性。

3、JWT的吊销

使用者可以将jwt的id (jti) 存储在服务器端，然后发送带有JWT的请求时逐个比较JWT的jti，来避免重播攻击。令牌吊销通常用于跟踪或管理 使用客户端的会话ID一样。

4、访问控制

使用者可以在JWT的载荷中包含用户的权限，以便服务器端对数据进行访问控制。例如，在医疗保健系统中，用户必须拥有正确的角色和权限才能查看特定的医疗记录。

5、跨域支持

由于JWT是基于加密的JSON格式的数据，它具有更好的浏览器支持，可以作为跨域身份验证的完美解决方案。此外，由于JWT只需要通过 HTTP头或查询参数传输，因此在使用XMLHttpRequest或fetch等类型的ajax请求时更容易使用。

八、jwt公钥验签

在JWT中，我们可以使用公钥来进行验证。具体来说，使用者使用私钥对JWT进行签名，然后