身份验证和授权是任何应用程序的关键组件。人们已经开发了各种标准和框架来促进此类组件的开发并使应用程序更加安全。其中，JSON Web Tokens (JWT) 多年来已成为流行的选择。

        JSON Web 令牌是一种开放的行业标准 RFC 7519 方法，用于在两方之间安全地发送数据。它们包含以 JSON 格式编码的信息（声明）。这些声明有助于相关各方之间交换具体细节。可以使用数字签名来验证和信任所包含的信息

JWT 身份验证示例

        当用户尝试登录 Web 应用程序时，Web 服务器会验证用户的凭据并返回包含所有相关数据的 JWT：用户的身份和授权详细信息。

        在后续请求中，客户端包含 JWT。服务器验证令牌的签名以确保其未被篡改。在实施此验证过程中，设计问题可能会使网站容易受到攻击。

JWT 101

        JWT 由三部分组成：标头、有效负载和签名（也称为 JSON Web 签名 (JWS)）。

        JWT 的标头段包含有关签名算法和令牌类型的信息。alg参数指定用于创建签名的加密算法。 JWT 最常使用以下算法之一进行签名：  HS256（使用 SHA256 的 HMAC）和 RS256（使用 SHA256 的 RSA）。

JWT 的有效负载段包含通常针对用户的注册声明或识别信息。

        签名段取决于标头段中定义的算法。它由 Base-64 URL 编码的标头和有效负载段组成，使用密钥进行签名并进行哈希处理。

        对于使用 HMAC 的对称签名算法（例如 HS265），私钥在所有参与服务器之间共享。使用相同的私钥生成签名并验证传入 JWT 的签名。

        对于使用 RSA 的非对称签名算法（例如 RS256），JWT 签名是使用私钥生成的，服务器可以使用公钥对其进行验证。

JWT 攻击

        JWT 攻击旨在通过伪造 JWT 来冒充其他用户，从而绕过身份验证和访问控制。为了实现这一点，他们通常利用签名验证机制中的实现缺陷。

未经验证的无效签名

        第一个陷阱是服务器根本不实现签名验证。所有任意签名都会被接受，并且服务器信任所有伪造的 JWT。

没有签名的 JWT

        在这种情况下，该 alg 参数设置为 none，表示所谓的“不安全的 JWT”。大多数服务器会拒绝没有签名的令牌，但如果过滤依赖于字符串比较，有时可以使用经典的混淆技术（例如混合大小写和意外编码）来绕过它。

空密码

        某些对称签名算法（例如 HS256）使用任意独立字符串作为密钥。大多数实现此功能的库将使用空字符串作为默认密码。当然，如果开发人员在实现 Web 应用程序时忘记更改此默认值，服务器也会接受使用空字符串签名的伪造 JWT。

CVE-2022-21449

        2022 年，人们发现 Java 版本 15、16、17 和 18 包含一个严重错误，也称为CVE-2022-21449。此漏洞允许攻击者伪造具有服务器可接受的特定值的 ECDSA 签名。

        这也可以通过 JWT 签名来利用。攻击者可以指定 ECDSA 算法：alg: "ES256"并将预定义签名附加到 JWT。Web 服务器将成功验证签名。

通过 JWK 注入自签名 JWT

        JSON Web 签名标准RFC 7515定义了一个可选标头参数，服务器可以使用该参数以 JWK ( RFC 7517 ) 格式jwk嵌入自己的 RSA 公钥。一些配置错误的服务器将使用嵌入在 JWT 中的公钥来验证签名，而不是使用自己的一组白名单公钥。这允许攻击者对伪造的 JWT 进行自签名，并在标头中包含用于对 JWT 进行签名的匹配公钥。