如何使用JWT Token避免盗用

一、JWT Token是什么？

JSON Web Token（JWT）是一种开放标准（RFC 7519），它定义了一种紧凑且自包含的方式来安全地传输信息。JWT以JSON格式表示，并使用数字签名或消息验证代码（MAC）来验证其完整性。

一个 JWT Token 由令牌头、有效负载和签名组成，令牌头包含表示令牌类型和所使用的算法的元数据，有效负载是令牌的主体，包含声明的信息，如用户ID、角色等。签名是对头部和载荷的签名，由秘密密钥和指定的算法生成。

二、如何使用JWT Token避免盗用？

1、设置令牌过期时间

在将JWT Token传输到客户端之前，应该设置一个合适的过期时间，以确保令牌不会被无限制地使用。通常情况下，过期时间设置为一定的时间，例如30分钟或1小时。

//使用JWT库生成Token，过期时间为1小时
const jwt = require('jsonwebtoken');
const token = jwt.sign({ user_id: 123 }, 'secret', { expiresIn: '1h' });

在接收到令牌时，应该验证令牌过期时间是否已过，如果过期时间已过，则应该认为令牌无效。

//使用JWT库验证Token是否过期
const jwt = require('jsonwebtoken');
const token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsImlhdCI6MTYxNTkyNDIzOH0.tze9EslmRYGc6EZl26fW0iafuDXbKZnmPf93eST2Umc';
const secret = 'secret';
try {
  const decodedToken = jwt.verify(token, secret);
  const { user_id } = decodedToken;
  console.log(user_id);
} catch (err) {
  console.log('Token已过期');
}

2、限制Token的使用次数

通过限制Token的使用次数，可以防止在一定时间内使用同一个Token持续发送请求，降低被盗用的风险。通过在有效负载中添加“Issued At”（发布时间）声明和“Nonce”（一次性数字）声明，可以实现该功能。

//使用JWT库生成Token，限制使用次数为5次
const jwt = require('jsonwebtoken');
const token = jwt.sign({ user_id: 123, iat: new Date().getTime(), nonce: '12345' }, 'secret', { expiresIn: '1h' });

在接收到令牌时，应该验证令牌中的“Issued At”和“Nonce”声明，如果两个声明与之前接收到的令牌相同，则应该认为令牌无效。

//使用JWT库验证Token的Issued At和Nonce声明
const jwt = require('jsonwebtoken');
const token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsImlhdCI6MTYxNTkyNDIzOCwibm9uY2UiOiIxMjM0NSJ9.Od1NqFQp_L2z3pE4QRv6-nzt8mLX5zmhyZhApY6oeOc';
const secret = 'secret';
try {
  const decodedToken = jwt.verify(token, secret);
  const { user_id, iat, nonce } = decodedToken;
  if (iat !== prev_token_iat || nonce !== prev_token_nonce) {
    console.log('Token已失效');
  } else {
    console.log(user_id);
  }
} catch (err) {
  console.log('Token已过期');
}

3、限制Token的访问范围

通过限制Token的访问范围，可以仅允许特定的客户端或IP地址使用Token，从而降低被盗用的风险。可以在有效负载中为每个客户端或IP地址添加一个唯一标识符，然后仅允许具有该标识符的请求使用Token。

//使用JWT库生成Token，限制访问范围为IP地址为192.168.0.1的客户端
const jwt = require('jsonwebtoken');
const token = jwt.sign({ user_id: 123, client_id: '12345', ip_address: '192.168.0.1' }, 'secret', { expiresIn: '1h' });

在接收到令牌时，应该验证令牌中的客户端标识符和IP地址是否与请求中的相同，如果不同，则应该认为令牌无效。

//使用JWT库验证Token的客户端标识符和IP地址
const jwt = require('jsonwebtoken');
const token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsImNsaWVudF9pZCI6IjEyMzQ1IiwiaXNfYWRkcmVzcyI6IjE5Mi4xNjguMC4xIn0.rXXPOnfzrYoTkw_bI60moQK5N6SnB9-8hQVw-VJtmCM';
const secret = 'secret';
if (client_id === prev_token_client_id && ip_address === prev_token_ip_address) {
  const decodedToken = jwt.verify(token, secret);
  const { user_id } = decodedToken;
  console.log(user_id);
} else {
  console.log('Token已失效');
}

三、结论

通过设置令牌过期时间、限制Token的使用次数和访问范围，可以在一定程度上避免JWT Token被盗用的风险。但是，仍然需要对应用程序的安全性进行全面评估和测试，以避免其他潜在的漏洞。

原创文章，作者：WYYGP，如若转载，请注明出处：https://www.506064.com/n/332681.html