我刚刚在我的 api 中实现了 Json Web 令牌,但我不明白如何验证创建令牌的用户是否是发出请求的用户。
例如,我有 /user/login 端点,我收到了登录用户和密码。然后我创建一个包含用户数据的 json Web 令牌,并将其返回。这是我的问题,我怎么知道创建该令牌的用户是发出请求的用户?
我找到了几种方法来验证这一点,例如保存用户的用户代理 + ip 并且仅在用户代理 + ip 为 xxx 时接受对该令牌的请求,但我不确定这是最好的方式。
希望你能给我一些建议,
谢谢大家
【问题讨论】:
标签: api authentication jwt
我怎么知道创建该令牌的用户是发出请求的用户?
由于 JWT 包含用户 ID 并已签名,因此将检测到对内容的任何更改。拥有令牌是真实性的证明
用JWT签发和认证的过程或多或少是这样的
颁发新的 JWT
用户使用其凭据执行和验证
服务器验证凭据,生成包含用户数据和一些字段(如过期时间或颁发者)的 JWT 有效负载,并使用服务器私钥对令牌进行签名
客户端收到令牌并将其存储(在安全存储中)。
身份验证
用户向服务器发送请求。请求包含 JWT,通常在标头中或作为 url 参数
服务器使用密钥验证签名,并提取用户 ID 以了解请求者。如果签名无效则拒绝请求
【讨论】:
sub 字段内。如果您希望 JWT 不能用于完成完整的身份验证,则必须添加额外的安全措施。例如,需要 JWT 和之前发布的 CSRF 安全令牌。另一种选择是使用在客户端生成的加密密钥对,并要求客户端对请求的有效负载进行签名。服务器将使用公钥(链接到用户帐户)验证签名。但是这个选项实现起来比较复杂
您有什么理由不能使用像 OAUTH2 这样的标准并让大公司为您处理安全问题?滚动自己的安全通常很难正确,几乎所有主要参与者都提供免费的 OATH 支持。
也就是说,我会犹豫是否要带你走上一条坏路,但是我以前也曾站在你的立场上,所以如果你必须自己提高安全性,请确保你完全阅读了 OWASP 提供的所有内容。他们提供非常详细的威胁分析,并提供在您的旅程中非常宝贵的建议。
编辑 1
一个轻量级且易于实施的标准是OpenID,正如他们的横幅所解释的那样,
基于 OAuth 2.0 的简单身份层
有关其工作原理的非常详细的说明,请参见此处: OpenID-Wiki
【讨论】: