📕
余烬的小册
数据结构与算法GitHub
  • 总述
  • 经验记录
    • 经验总结
      • web component
      • 前端性能优化总结与分析
      • 我的长列表优化方案
      • 双向通讯解决方案
      • 🔧基于istanbul实现代码测试覆盖率工具
      • 表单系统(低代码表单)
      • 跨端小程序
      • 设计一个即时聊天功能
      • 跨页面通讯 3658699fe4cb4d0bbe22b0881390bacd
    • 踩坑记录
      • HTML踩坑记录
      • Flutter踩坑记录
      • CSS踩坑记录
  • 源码解析
    • Vue源码解析
      • Vue2源码解析系列-响应式原理
      • Vue2源码解析系列-模板编译
      • Vue2源码解析系列-渲染系统(待更新)
        • Patch
      • Vue2源码解析系列-调度系统(todo)
      • Vue2组件更新流程(todo)
      • 如何学习Vue源码
      • Vue3源码解析系列-响应系统
      • Vue3源码解析系列-渲染系统
      • Vue3源码解析系列-组件化和渲染优化(todo)
      • Vue router源码解析(todo)
    • React源码解析(todo)
    • 微前端
      • qiankun源码解析(todo)
    • Vite源码解析
      • Vite Client源码
      • Vite Server源码(todo)
  • 前端技术
    • javaScript
      • ES6
        • 变量声明
        • 模块化
        • 箭头函数
        • 你不知道的for...of
        • 新的数据结构Set和Map
        • JavaScript异步编程终极解决方案
        • ES6 Class 3a0c0a225a534984aabe9a943c5df975
      • JavaScript Error
      • JavaScript浅拷贝和深拷贝
      • JavaScript闭包
      • JavaScript最佳实践
      • JavaScript设计模式
      • async函数的polyfill
    • 深入理解JavaScript系列
      • JavaScript中的继承
      • JavaScript原始类型和引用类型
      • JavaScript浅拷贝和深拷贝
      • JavaScript手写系列
      • JavaScript之this
      • 词法环境和环境记录
      • JavaScript内存泄漏
      • 执行上下文
      • 从ECMAScript规范中学习this
    • TypeScript
      • TypeScript基础教程
      • Typescript高级操作
      • TypeScript工具类型
      • Typescript手写实现工具类型
      • Typescript总结(思维导图)
    • 浏览器原理
      • 页面渲染原理
      • 浏览器存储
      • JavaScript事件循环
      • 事件循环
      • 跨域
      • DOM事件流
      • 从输入url到页面渲染
      • 判断节点之间的关系及根据节点关系查找节点
      • history API
    • 跨端技术
      • Flutter
        • Flutter布局组件
    • 前端工程化
      • Babel插件开发指南
      • 循环依赖
      • pm2
    • React
      • React 状态管理
      • React组件通讯
      • Redux入门
      • Flux
      • React Hook(todo)
      • Effect
  • 服务器端
    • 计算机网络
      • 应用层
      • 运输层
      • 物理层
      • 数据链路层
      • HTTP缓存
      • HTTPS
      • 网络层
    • NodeJs
      • Node.js
      • nodejs最佳实践
      • 《深入浅出Nodejs》小结
      • mongoose填充(populate)
      • node事件循环
      • Node子进程
      • nestjs从零开始
      • nodejs流
      • Nodejs调试
      • Koa源码解析
    • 服务器
      • 操作系统
      • Linux
      • nginx常用指令
      • nginx常用配置
    • 数据库
      • Mysql常见语法
      • MongoDB Indexes索引
  • 前端安全与性能优化
    • 前端安全
      • 跨站脚本攻击(XSS)
      • 跨站点请求伪造(CSRF)
      • 点击劫持
      • 中间人攻击
      • 越权攻击与JWT
    • 前端性能优化
      • 前端监控系统
      • 前端性能优化总结与分析 7348bba0918645b1899006dc842a64c1
      • 衡量性能的核心指标 0dc15ef127cf4f4a9f1137c377420292
      • 图片懒加载
  • 杂项
    • 其他
      • Git
      • web component框架
      • 实现滚动框的懒加载
      • Stencil指南
    • CSS
      • 定位和层叠上下文
      • BFC
      • 盒模型
      • css选择器
      • css变量
由 GitBook 提供支持
在本页
  • 越权攻击
  • JWT
  • 组成
  • 使用
在GitHub上编辑
  1. 前端安全与性能优化
  2. 前端安全

越权攻击与JWT

tags: 前端安全 Created time: July 11, 2022 7:38 PM emoji: 🤺

越权攻击

所谓的越权攻击是指低权限绕开限制访问到高权限的数据,从而导致敏感信息泄漏。

预防越权攻击不能仅仅依靠前端,例如只靠前端隐藏某个敏感操作的按钮,隐藏某个高权限的页面等,因为这样攻击者可以通过浏览器开发者工具或其他攻击工具来绕开前端的限制,直接访问后端接口,因此预防越权攻击需要后端做出响应的预防处理。

JWT

预防越权攻击需要后端在敏感操作的接口里辨别用户的身份,如果用户无权限则不允许其访问。辨别用户的身份方式有很多,这里介绍一种比较常用的方法JWT。

JWT全程JSON WITH TOKEN,是一种开放标准,旨在可被信任地、可被校验地、安全地在各方传递信息。JWT最常见的场景是授权。

组成

JWT由三部分拼接构成:头部(base64)、负载(base64)和签名,各部分用英文. 分隔。

  1. 头部

  2. 负载

  3. 签名

头部

头部通常由token类型(JWT)和算法名称构成。

{
    'alg': "HS256",
    'typ': "JWT"
}

负载

第二部分负载就是我们需要传递的信息主体。

通常包含以下信息(非必须):

  • 授权人

  • 被授权人

  • 过期时间

  • 授权时间

  • …

  • 自定义字段

如果需要在负载部分存放敏感信息,需要对其进行加密。

签名

第三部分是签名,签名是结合前两部分(base64后)和密钥(存放到服务器),使用头部声明的算法生成的。签名的作用主要是防止token被篡改,服务器接收token后,会使用密钥对该token进行校验,判断token是否被篡改以及token的有效性。

JWT的密钥一般存放在服务器,假如被泄漏,那么攻击者就可以伪造token,从而绕开防护措施。

使用

JWT token通常放到http请求头的Authorization 字段中,并在前面加上Bearer 标识(Bearer验证)

'Authorization': "Bearer " + token

JWT不仅仅用于防止越权攻击,也可以用于防御跨站点请求伪造攻击。

上一页中间人攻击下一页前端性能优化

可以在此网站中体验JWT

JSON Web Tokens - jwt.io