Introduction:
Les jetons Web JSON (JWT) sont largement utilisés pour sécuriser l'authentification API et l'échange de données. Cependant, une mise en œuvre et une gestion inappropriées peuvent exposer des vulnérabilités conduisant à la falsification de jetons et à la manipulation de données. Dans ce blog, nous explorerons les faiblesses courantes de JWT, des exemples concrets d'attaques et les meilleures pratiques pour atténuer ces risques.
Qu’est-ce que JWT ?
JWT est un moyen compact et sécurisé pour les URL de représenter les réclamations à transférer entre deux parties. Il se compose de trois parties : en-tête, charge utile et signature, codées en Base64.
Structure JWT :
{
"header": {
"alg": "HS256",
"typ": "JWT"
},
"payload": {
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
},
"signature": "SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"
}
Copier après la connexion
Vulnérabilités JWT courantes :
1. Attaque de confusion d'algorithme :
Les attaquants peuvent exploiter des algorithmes faibles ou remplacer l'algorithme dans l'en-tête du jeton par aucun, conduisant à une falsification de jeton.
Exemple :
{
"alg": "none",
"typ": "JWT"
}
Copier après la connexion
Atténuation :
Validez toujours le paramètre alg côté serveur et rejetez les jetons avec « aucun » ou des algorithmes faibles.
Mise en œuvre sécurisée :
const jwt = require('jsonwebtoken');
const payload = {
sub: "1234567890",
name: "John Doe"
};
const secret = 'your-256-bit-secret';
const token = jwt.sign(payload, secret, { algorithm: 'HS256' });
jwt.verify(token, secret, { algorithms: ['HS256'] }, function(err, decoded) {
if (err) throw new Error('Token verification failed');
console.log(decoded);
});
Copier après la connexion
2. Attaque par injection de clé :
Les attaquants pourraient manipuler la charge utile pour inclure une nouvelle clé, conduisant ainsi à un accès non autorisé.
Exemple :
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
Copier après la connexion
Atténuation :
Assurez-vous que les réclamations sont correctement validées et que les informations sensibles ne sont pas stockées dans la charge utile.
Mise en œuvre sécurisée :
const payload = {
sub: "1234567890",
name: "John Doe"
};
const token = jwt.sign(payload, secret, { algorithm: 'HS256' });
jwt.verify(token, secret, function(err, decoded) {
if (err) throw new Error('Token verification failed');
if (decoded.admin) throw new Error('Unauthorized access');
console.log(decoded);
});
Copier après la connexion
3. Clé secrète faible :
L'utilisation de clés secrètes faibles ou prévisibles peut conduire à des attaques par force brute.
Atténuation :
Utilisez des clés secrètes solides générées aléatoirement et faites-les pivoter régulièrement.
Mise en œuvre sécurisée :
const crypto = require('crypto');
const secret = crypto.randomBytes(64).toString('hex');
const token = jwt.sign(payload, secret, { algorithm: 'HS256' });
jwt.verify(token, secret, function(err, decoded) {
if (err) throw new Error('Token verification failed');
console.log(decoded);
});
Copier après la connexion
Exemple complet de mise en œuvre de JWT sécurisé :
Voici un exemple complet de la façon d'implémenter en toute sécurité JWT dans une application Node.js :
Étape 1 : Installer les dépendances
npm install jsonwebtoken express body-parser
Copier après la connexion
Étape 2 : Créer un serveur simple
const express = require('express');
const bodyParser = require('body-parser');
const jwt = require('jsonwebtoken');
const crypto = require('crypto');
const app = express();
app.use(bodyParser.json());
const secret = crypto.randomBytes(64).toString('hex');
app.post('/login', (req, res) => {
const { username, password } = req.body;
// Authenticate user (dummy check for example)
if (username === 'user' && password === 'pass') {
const payload = { username };
const token = jwt.sign(payload, secret, { algorithm: 'HS256', expiresIn: '1h' });
res.json({ token });
} else {
res.status(401).json({ message: 'Invalid credentials' });
}
});
app.get('/protected', (req, res) => {
const token = req.headers['authorization'];
if (!token) return res.status(403).json({ message: 'No token provided' });
jwt.verify(token, secret, { algorithms: ['HS256'] }, (err, decoded) => {
if (err) return res.status(500).json({ message: 'Failed to authenticate token' });
res.json({ message: 'Access granted', user: decoded });
});
});
app.listen(3000, () => {
console.log('Server running on port 3000');
});
Copier après la connexion
Meilleures pratiques pour la mise en œuvre sécurisée de JWT :
- Utilisez des algorithmes puissants : préférez RS256 ou ES256 au HS256 pour une meilleure sécurité.
- Valider l'expiration du jeton : vérifiez toujours la demande d'exp pour vous assurer que le jeton n'a pas expiré.
- Stockez les secrets en toute sécurité : conservez les clés secrètes dans un emplacement sécurisé, tel que des variables d'environnement ou des coffres-forts sécurisés.
- Mettez en œuvre une gestion appropriée des erreurs : évitez d'exposer des messages d'erreur sensibles qui peuvent aider les attaquants.
- Utilisez HTTPS : assurez-vous que toutes les communications se font via HTTPS pour empêcher l'interception des jetons.
Conclusion:
Comprendre et atténuer les vulnérabilités JWT est crucial pour maintenir la sécurité de vos applications. En suivant les meilleures pratiques et en gérant correctement les JWT, vous pouvez empêcher la falsification de jetons et la manipulation de données, garantissant ainsi une sécurité robuste de l'API.
Sécurisez vos API dès maintenant en mettant en œuvre ces bonnes pratiques pour vous protéger contre les vulnérabilités JWT !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
