JWT（二）：拦截风险分析与应对措施

大家好，我是欧阳方超，公众号同名。

1 概述

JWT一般是在后端生成，然后传给前端的，在这一过程中，如果JWT被攻击者拦截了，那么拦截者就会使用这个JWT来访问受保护的资源。针对这一问题本文介绍几个应对措施。

2 JWT被拦截的风险分析

当JWT被发送到前端后，确实存在被拦截的风险。例如，在网络传输过程中，如果使用了不安全的网络（如未加密的公共wifi），攻击者可以通过中间人攻击（MITM）手段拦截JWT。一旦攻击者获取了JWT，理论上他们就可以尝试使用这个JWT来访问受保护的资源。以一个简单的web系统为例，用户登录成功后，获得一个包含用户身份和权限信息的JWT。如果这个JWT在传输过程中被拦截，攻击者就能够获取其中的用户ID、权限等信息。

3 减轻风险的机制和策略

3.1 设置合理的有效期

JWT通常包含一个过期时间声明。通过设置较短的有效期，例如几分钟到几小时，可以降低JWT被拦截后长期滥用的风险。例如，一个访问令牌的有效期设置为15分钟，即使被拦截，攻击者也只能在这15分钟内尝试滥用它。当令牌过期后，就需要重新进行身份验证来获取新的JWT。

3.2 使用HTTPS协议传输

HTTPS通过SSL/TLS加密来保护数据在网络中的传输。这样可以防止JWT在传输过程中被轻易拦截和读取。在安全的网络环境下，即使攻击者尝试进行中间人攻击，由于无法解密传输的数据，也很难获取到JWT的内容。

3.3 结合刷新令牌机制

除了访问令牌外，还可以使用刷新令牌。访问令牌用于日常的资源访问，有效期较短；刷新令牌用于在访问令牌过期时获取新的访问令牌，有效期较长。刷新令牌通常存储在更安全的地方（如HTTP-Only的Cookie中），并且具有较高的安全性要求。当访问令牌过期后，客户端可以使用刷新令牌向认证服务器请求新的访问令牌，而不会频繁地要求用户重新输入用户名密码进行登录。HttpOnly 是 Cookie 的一个属性。当一个 Cookie 被设置为 HttpOnly 时，JavaScript 就无法直接访问这个 Cookie。

3.4 权限细分和严格验证

在服务器端，对于不同的资源和操作，应该进行严格的权限细分和验证。即使攻击者获取了 JWT，也只能访问JWT中所授权的特定资源和执行特定的操作。例如，一个 JWT 可能授权用户访问某些公共信息，但对于敏感的管理功能，需要额外的验证步骤（如多因素认证）或者更高级别的权限声明。

3.5 监控和异常检测

建立有效的监控系统，对JWT的使用情况进行监控。例如，检测同一 JWT 在短时间内从不同的地理位置或者 IP 地址进行访问，这可能是 JWT 被滥用的迹象。一旦发现异常，可以及时采取措施，如撤销 JWT 或者要求用户重新进行身份验证。维护一个黑名单，将需要撤销的 JWT 存储在这个黑名单中。当收到 JWT 进行验证时，检查该 JWT 是否在黑名单中。如果在，就拒绝该 JWT 的访问请求，从而实现撤销功能。

3.6 多因素身份验证

多因素身份验证通过要求用户提供多种类型验证因素来证明身份，常见因素包括拥有因素（如短信验证码、硬件令牌）和固有因素（如指纹、面部识别等生物特征）。短信验证码基于手机接收一次性码，硬件令牌生成同步一次性密码，生物识别利用人体独特生理特征。其优势在于提供多层防护，即使密码泄露，无其他因素攻击者也难登录，大幅降低账户被盗风险，且能依场景灵活组合不同因素，适应多样安全需求，有效保障账户安全。

4 总结

JWT 从后端传至前端存在被拦截风险，可通过多种措施应对。如设置合理有效期、用 HTTPS 协议传输、结合刷新令牌机制、进行权限细分与严格验证、监控及异常检测、采用多因素身份验证等，这些方法能有效减轻因 JWT 被拦截而导致的安全风险。
我是欧阳方超，把事情做好了自然就有兴趣了，如果你喜欢我的文章，欢迎点赞、转发、评论加关注。我们下次见。