我正在尝试进行基于 JWT 的身份验证过程。
- 在 Jetty 上启动 Jersey REST 服务
- 用户在
/users/login
上使用用户名和密码发帖 - 基于 key 的 JWT 在服务器上生成并存储在 cookie 中
- 客户端现在可以读取 cookie 以进行其他操作,将带有
Authorization: Bearer ${jwt}
header 的请求发送到/users/profile
- 如果通过签名得到的
jwt
有效,则返回用户信息,否则返回Unauthorized
现在,我才意识到;这怎么安全?难道任何 用户都不能简单地从浏览器读取 cookie 并将 curl 请求发送到 /users/profile
并且它是有效的吗?
我在这方面真的还是个新手,所以你能解释一下吗?下面是一些简单的测试代码
@Path("users")
public class UserResources {
@Path("login")
@POST
@Consumes({ MediaType.APPLICATION_JSON, MediaType.APPLICATION_XML })
@Produces({ MediaType.APPLICATION_JSON, MediaType.APPLICATION_XML })
public Response loginUser(UserInput userInput) {
String compactJws = Jwts.builder().setSubject(userInput.getUsername()).claim("name", userInput.getName())
.signWith(SignatureAlgorithm.HS256, Server.SECRECT_KEY).compact();
return Response.status(Status.OK).cookie(new NewCookie("jwt", compactJws)).entity(compactJws).build();
}
@Path("profile")
@GET
@Produces({ MediaType.APPLICATION_JSON, MediaType.APPLICATION_XML })
public Response getUser(@HeaderParam("Authorization") String compactJws) {
try {
if (compactJws == null || compactJws.trim().isEmpty() || !compactJws.startsWith("Bearer ")) {
throw new SignatureException("Invalid access token");
}
Jws<Claims> claims = Jwts.parser().setSigningKey(Server.SECRECT_KEY)
.parseClaimsJws(compactJws.substring("Bearer ".length()));
return Response.ok(new String("Subject: " + claims.getBody().getSubject() + "\nName: " + claims.getBody().get("name"))).build();
} catch (SignatureException e) {
return Response.status(Status.UNAUTHORIZED).entity(e.getMessage()).build();
}
}
}
最佳答案
验证签名可确保 JWT 未被伪造或篡改。如您所料,JWT 仍然可以被窃取。如果有人窃取了 token ,他们可以冒充您的用户并发出请求。
需要做三件重要的事情:
使用 HTTPS - 端到端 TLS 可防止有人拦截或嗅探网络上的请求并窃取 token 。
在客户端安全地存储 token - 如果您将 token 存储在 cookie 中,确保使用 HttpOnly 标志以防止通过 XSS 窃取,并且在所有表单上使用 CSRF 保护。参见 Cookies vs. HTML5 Web Storage以获得更深入的解释。
使 token 过期 - 如果所有其他方法都失败,并且 token 确实被盗,合理的过期(
exp
声明)将确保只有有限的 token 可用于造成损害的时间窗口。
关于java - 存储在 cookie 中的 JWT 安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38739988/