/ / Sprawdzanie poprawności podpisu tokenu JWT javascript - javascript, security, jwt

Weryfikacja podpisu tokenu JWT javascript - javascript, security, jwt

Robiłem klienta javascript, z którym się łączyApi używające tokenów JWT. Po stronie serwera nie ma problemów, mogę utworzyć token podpisać go, a następnie zweryfikować podpis en, dzięki czemu upewnić się, że nikt nie naruszony z tokena.

Ale jak to zrobić po stronie klienta. Mogę po prostu odszyfrować token JWT i zobaczyć nagłówek, ładunek i podpis. Ale w jaki sposób mogę zweryfikować podpis w witrynie klienta? Czy istnieją biblioteki do tego, w jaki sposób mogę przenieść klucz publiczny do klienta?

Jeśli nie weryfikuję podpisu, skąd wiadomo, że token nie jest naruszony?

Odpowiedzi:

2 dla odpowiedzi № 1

jeśli nie sprawdzam poprawności podpisu po stronie klienta, jak mogę się upewnić, że token rzeczywiście pochodzi z serwera? Może jest ktoś pośrodku, który zmienia token

Potwierdzenie podpisu nie pozwala uniknąć ataku Man In The Middle. Osoba atakująca może powąchać kanał, aby przechwycić dane uwierzytelniające lub zmienić komunikaty, nawet używając prawidłowych tokenów

Użyć Kanał SSL / TLS (https)

Jeśli nie weryfikuję podpisu, skąd wiadomo, że token nie jest naruszony?

Token dostarczany przez zaufany serwer TLS to prawdopodobnie prawidłowy. (mógł zostać zmieniony w pamięci lokalnej). Możesz zweryfikować podpis. Ta operacja jest zwykle wykonywana po stronie serwera (patrz odpowiedź @sakuto), ale możesz to zrobić w przeglądarce idealnie

Ale w jaki sposób mogę zweryfikować podpis w witrynie klienta?

Oto kroki

  1. Pobierz klucz publiczny z zaufanego serwera
  2. wyodrębnij sygnaturę z JWT i ją odkodować (base64url)
  3. sprawdź podpis cyfrowy za pomocą biblioteki kryptograficznej

Proponuję użyć Webcrypto. Zobacz przykład klucza importu RSA i sprawdzanie poprawności tutaj: https://github.com/diafygi/webcrypto-examples/blob/master/README.md#rsassa-pkcs1-v1_5

3 dla odpowiedzi № 2

Zazwyczaj nie przeprowadzasz weryfikacjipo stronie klienta, ani przechowywania ważnych danych na tokenie. Każda kontrola i uprawnienie są sprawdzane na zapleczu. Oznacza to, że nawet jeśli użytkownik dokona manipulowania swoim tokenem, nie będzie w stanie przejść kontrolki zaplecza, prawdopodobnie widząc jeszcze jedną opcję z przodu.

Powiązane pytania

Ujawnienie tokena CSRF w adresie URL a włączenie tokena w żądaniu POST - bezpieczeństwo, ochrona csrf
Railsy - Jak ustawić walidację do wystąpienia w jednej z moich własnych metod kontrolera - ruby-on-rails, sprawdzanie poprawności
Załaduj obrazy do pliku php za pomocą jednorazowego tokena (bez javascript) - php, obrazu, bezpieczeństwa, tokena
REST API Bezpieczeństwo przy użyciu podpisu, gdzie / jak przechowywać tajny klucz? - php, usługi internetowe, odpoczynek, bezpieczeństwo
Sprawdzanie poprawności tokena wieloetapowego za pomocą OpenidConnect - jwt, katalog-azure-active, multi-tenant
sprawdzanie poprawności jquery dla formularzy internetowych asp.net, gdy javascript w przeglądarce jest wyłączona? - javascript, jquery, asp.net
Weryfikacja sprawdzania poprawności adresu e-mail JavaScript - javascript, regex, błąd składni
Podpis e-mail za pomocą javascript - javascript
Zagrożenie bezpieczeństwa podczas ujawniania konta Facebook access_token? - javascript, facebook, bezpieczeństwo, facebook-graph-api
JavaScript - klucz / certyfikat z tokena USB - javascript, security, webcryptoapi
Użyj sprawdzania poprawności javascript na serwerze - javascript
Sprawdzanie numeru telefonu Javascript [duplikat] - javascript, formularze, sprawdzanie poprawności
Strona klienta sprawdzania poprawności asp.net po stronie klienta lub po stronie serwera lub obu - javascript, asp.net
Pojedyncze uwierzytelnianie WCF Wiele punktów końcowych - c #, usługi internetowe, wcf, uwierzytelnianie
Podpisywanie pliku z odłączonym podpisem - c #, xml, podpis cyfrowy, podpis xml
Jaka jest różnica między uwierzytelnianiem tokena w usłudze Azure Blob Storage a Verizon CDN Premium? - lazur, uwierzytelnianie, przechowywanie w azure, azure-cdn
Token bezpieczeństwa SAML 2.0 - autoryzacja, saml
Gdzie i jak jest token bezpieczeństwa zserializowany podczas korzystania z tożsamości ASP.NET? - asp.net-mvc, bezpieczeństwo, serializacja, token, tożsamość
Token bezpieczeństwa w Salesforce.com - api, bezpieczeństwo, login, salesforce, token
Czy zalogowany klient systemu Android powinien otrzymywać tokeny uwierzytelniające przy każdym żądaniu, czy też wylogować się / zalogować się, aby otrzymać nowy token? - Android, bezpieczeństwo, autoryzacja