一、JWT Token是什么?
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来安全地传输信息。JWT以JSON格式表示,并使用数字签名或消息验证代码(MAC)来验证其完整性。
一个 JWT Token 由令牌头、有效负载和签名组成,令牌头包含表示令牌类型和所使用的算法的元数据,有效负载是令牌的主体,包含声明的信息,如用户ID、角色等。签名是对头部和载荷的签名,由秘密密钥和指定的算法生成。
二、如何使用JWT Token避免盗用?
1、设置令牌过期时间
在将JWT Token传输到客户端之前,应该设置一个合适的过期时间,以确保令牌不会被无限制地使用。通常情况下,过期时间设置为一定的时间,例如30分钟或1小时。
//使用JWT库生成Token,过期时间为1小时 const jwt = require('jsonwebtoken'); const token = jwt.sign({ user_id: 123 }, 'secret', { expiresIn: '1h' });
在接收到令牌时,应该验证令牌过期时间是否已过,如果过期时间已过,则应该认为令牌无效。
//使用JWT库验证Token是否过期 const jwt = require('jsonwebtoken'); const token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsImlhdCI6MTYxNTkyNDIzOH0.tze9EslmRYGc6EZl26fW0iafuDXbKZnmPf93eST2Umc'; const secret = 'secret'; try { const decodedToken = jwt.verify(token, secret); const { user_id } = decodedToken; console.log(user_id); } catch (err) { console.log('Token已过期'); }
2、限制Token的使用次数
通过限制Token的使用次数,可以防止在一定时间内使用同一个Token持续发送请求,降低被盗用的风险。通过在有效负载中添加“Issued At”(发布时间)声明和“Nonce”(一次性数字)声明,可以实现该功能。
//使用JWT库生成Token,限制使用次数为5次 const jwt = require('jsonwebtoken'); const token = jwt.sign({ user_id: 123, iat: new Date().getTime(), nonce: '12345' }, 'secret', { expiresIn: '1h' });
在接收到令牌时,应该验证令牌中的“Issued At”和“Nonce”声明,如果两个声明与之前接收到的令牌相同,则应该认为令牌无效。
//使用JWT库验证Token的Issued At和Nonce声明 const jwt = require('jsonwebtoken'); const token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsImlhdCI6MTYxNTkyNDIzOCwibm9uY2UiOiIxMjM0NSJ9.Od1NqFQp_L2z3pE4QRv6-nzt8mLX5zmhyZhApY6oeOc'; const secret = 'secret'; try { const decodedToken = jwt.verify(token, secret); const { user_id, iat, nonce } = decodedToken; if (iat !== prev_token_iat || nonce !== prev_token_nonce) { console.log('Token已失效'); } else { console.log(user_id); } } catch (err) { console.log('Token已过期'); }
3、限制Token的访问范围
通过限制Token的访问范围,可以仅允许特定的客户端或IP地址使用Token,从而降低被盗用的风险。可以在有效负载中为每个客户端或IP地址添加一个唯一标识符,然后仅允许具有该标识符的请求使用Token。
//使用JWT库生成Token,限制访问范围为IP地址为192.168.0.1的客户端 const jwt = require('jsonwebtoken'); const token = jwt.sign({ user_id: 123, client_id: '12345', ip_address: '192.168.0.1' }, 'secret', { expiresIn: '1h' });
在接收到令牌时,应该验证令牌中的客户端标识符和IP地址是否与请求中的相同,如果不同,则应该认为令牌无效。
//使用JWT库验证Token的客户端标识符和IP地址 const jwt = require('jsonwebtoken'); const token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsImNsaWVudF9pZCI6IjEyMzQ1IiwiaXNfYWRkcmVzcyI6IjE5Mi4xNjguMC4xIn0.rXXPOnfzrYoTkw_bI60moQK5N6SnB9-8hQVw-VJtmCM'; const secret = 'secret'; if (client_id === prev_token_client_id && ip_address === prev_token_ip_address) { const decodedToken = jwt.verify(token, secret); const { user_id } = decodedToken; console.log(user_id); } else { console.log('Token已失效'); }
三、结论
通过设置令牌过期时间、限制Token的使用次数和访问范围,可以在一定程度上避免JWT Token被盗用的风险。但是,仍然需要对应用程序的安全性进行全面评估和测试,以避免其他潜在的漏洞。