一、风险分析
- 身份冒用:攻击者可以使用泄露的 JWT 冒充用户,访问受保护的资源。
- 数据泄露:如果 JWT 中包含敏感信息(如用户角色、权限),攻击者可能获取这些数据。
- 长期有效性:如果 JWT 的有效期较长(如数小时或数天),攻击者有更多时间利用它。
二、预防措施
1. 确保传输安全
-
强制使用 HTTPS:所有 JWT 的传输必须通过 HTTPS 加密,防止中间人截获。
-
避免明文传输:确保 JWT 仅在加密通道中传输,例如通过 HTTPS 的
Cookie
或Authorization
头。2. 缩短 JWT 有效期
-
设置短过期时间(TTL):例如 15 分钟到 1 小时,减少泄露后的攻击窗口。
-
使用刷新令牌(Refresh Token):主 JWT 的有效期短,而刷新令牌(Refresh Token)用于获取新 JWT,但需将刷新令牌存储在更安全的位置(如 HTTP-Only、Secure 的 Cookie)。
3. 安全存储 JWT
-
避免存储在客户端的本地存储(如 localStorage):这些存储容易被 XSS 攻击窃取。
-
使用 HTTP-Only Cookie:将 JWT 存储在 HTTP-Only 的 Cookie 中,防止 JavaScript 访问(但需注意跨域问题)。
-
加密存储:如果必须存储在客户端,可以加密存储(如用 AES 加密后存入 localStorage)。
4. 密钥管理
-
使用非对称加密(如 RS256):私钥(用于签名)和公钥(用于验证)分开存储,私钥仅在服务器端使用。
-
定期轮换密钥:定期更换签名密钥,避免长期密钥泄露导致所有 JWT 无效。
-
保护密钥安全:密钥应存储在安全的密钥管理系统(如 AWS KMS、HashiCorp Vault)中。
5. 黑名单机制(Token Revocation)
-
记录并失效泄露的 JWT:即使 JWT 是无状态的,服务器可以维护一个黑名单(如 Redis 缓存),记录被撤销的 JWT。
-
设置黑名单过期时间:黑名单中的 JWT 应设置合理的过期时间(如与 JWT 的有效期一致),避免无限期存储。
6. 监控与告警
-
实时监控异常登录:检测异常的登录位置、设备或行为,触发告警。
-
审计日志:记录 JWT 的签发、使用和撤销日志,便于事后分析。
三、应急响应措施
如果发现 JWT 已被泄露或截获,应立即采取以下步骤:
- 立即撤销泄露的 JWT:
- 将泄露的 JWT 添加到黑名单中,拒绝其访问权限。
- 如果使用刷新令牌,同时撤销对应的刷新令牌(例如通过标记刷新令牌为无效)。
- 强制用户重置密码:
- 通知用户其账户可能被入侵,要求重置密码。
- 重置密码后,旧的 JWT 和刷新令牌将失效。
- 检查系统漏洞:
- 分析泄露原因(如服务器配置错误、传输未加密、客户端存储不当)。
- 修复漏洞,防止再次发生。
- 更新密钥或算法:
- 如果密钥泄露,立即更换所有相关密钥。
- 如果使用对称加密(如 HS256),考虑切换为非对称加密(如 RS256)。
- 通知用户和监管机构:
- 根据数据保护法规(如 GDPR),在必要时通知用户和监管机构。
四、最佳实践总结
场景 | 措施 |
---|---|
传输阶段 | 使用 HTTPS,避免明文传输。 |
存储阶段 | 使用 HTTP-Only Cookie 或加密存储,避免 localStorage。 |
密钥管理 | 定期轮换密钥,使用非对称加密,密钥存储在安全系统中。 |
有效期管理 | 设置短有效期(如 15 分钟),配合刷新令牌机制。 |
泄露应对 | 黑名单机制、强制重置密码、监控和审计。 |
五、示例代码(黑名单机制)
以下是一个简单的 Redis 黑名单实现示例(Node.js):
// 1. 检查 JWT 是否在黑名单中
async function isTokenBlacklisted(token) {const redisClient = await getRedisClient();return await redisClient.exists(token);
}
// 2. 将泄露的 JWT 添加到黑名单(设置过期时间)
async function addToBlacklist(token, expiration) {const redisClient = await getRedisClient();await redisClient.set(token, 'blacklisted', 'EX', expiration);
}
六、总结
JWT 的安全不仅依赖于加密算法,更需要综合考虑传输、存储、密钥管理和应急响应策略。通过缩短有效期、使用刷新令牌、HTTPS 加密、黑名单机制等措施,可以显著降低泄露风险。一旦发生泄露,需快速响应并修复漏洞,防止进一步损失。