FixVibe
Covered by FixVibehigh

Tèarainteachd JWT: Cunnartan comharran neo-thèarainte agus dearbhadh tagraidh a tha a dhìth

Tha JSON Web Tokens (JWTs) a’ toirt seachad inbhe airson tagraidhean a ghluasad, ach tha tèarainteachd an urra ri dearbhadh teann. Mura dèanar dearbhadh air ainmean-sgrìobhte, amannan crìonaidh, no luchd-èisteachd san amharc leigidh luchd-ionnsaigh seachad air dearbhadh no ath-chluich comharran.

CWE-347CWE-287CWE-613

Buaidh ionnsaigh

Tha dearbhadh neo-iomchaidh JWT a’ leigeil le luchd-ionnsaigh dòighean dearbhaidh a sheachnadh le bhith a’ cruthachadh thagraidhean no ag ath-chleachdadh comharran a dh’ fhalbh gu crìch [S1]. Ma ghabhas frithealaiche ri comharran gun ainm-sgrìobhte dligheach, faodaidh neach-ionnsaigh an t-uallach pàighidh atharrachadh gus sochairean àrdachadh no atharrais a dhèanamh air cleachdaiche sam bith [S1]. A bharrachd air an sin, mura tèid an tagradh mu dheireadh a chuir an gnìomh (exp) leigidh e le neach-ionnsaigh tòcan cuibhrichte a chleachdadh gun chrìoch [S1].

Bun-adhbhar

Tha JSON Web Token (JWT) na structar stèidhichte air JSON a thathar a’ cleachdadh gus tagraidhean a tha air an soidhnigeadh gu didseatach no air an dìon le ionracas [S1] a riochdachadh. Mar as trice bidh fàilligidhean tèarainteachd a’ tighinn bho dhà phrìomh bheàrn buileachaidh:

  • A’ gabhail ri JWTan neo-thèarainte: Mura h-eil seirbheis a’ cur an gnìomh dearbhadh ainm-sgrìobhte gu teann, faodaidh i “JWTs neo-thèarainte” a phròiseasadh far nach eil an t-ainm-sgrìobhte ann agus an algairim air a shuidheachadh gu “none” [S1]. Anns an t-suidheachadh seo, tha earbsa aig an fhrithealaiche anns na tagraidhean san eallach pàighidh gun a bhith a’ dearbhadh an ionracas [S1].
  • Dearbhadh Tagraidh a tha a dhìth: Tha an tagradh exp (ùine crìochnachaidh) a’ comharrachadh na h-ùine air no às deidh sin cha bu chòir gabhail ris an JWT airson a bhith ag obrachadh [S1]. Tha an tagradh aud (luchd-èisteachd) a’ comharrachadh luchd-faighinn an tòcan [S1]. Mura tèid iad sin a sgrùdadh, faodaidh am frithealaiche gabhail ri comharran a thàinig gu crìch no a bha san amharc airson tagradh eile [S1].

Ceartachaidhean concrait

  • Cuir an gnìomh ainmean-sgrìobhte criptografach: Dèan rèiteachadh air an aplacaid gus JWT sam bith a dhiùltadh nach bi a’ cleachdadh algairim soidhnidh làidir ro-aontaichte (leithid RS256).
  • Dearbhaich Crìochnachadh: Cuir an gnìomh sgrùdadh èigneachail gus dèanamh cinnteach gu bheil an ceann-latha agus an t-àm ann ron àm a chaidh a shònrachadh anns an tagradh exp [S1].
  • Dearbhaich Luchd-amais: Dèan cinnteach gu bheil luach anns an tagradh aud a’ comharrachadh na seirbheis ionadail; mura h-eil an t-seirbheis air a chomharrachadh anns an tagradh aud, feumaidh an tòcan a bhith air a dhiùltadh [S1].
  • Cuir casg air ath-chluich : Cleachd an tagradh jti (JWT ID) gus aithnichear sònraichte a shònrachadh do gach tòcan, a’ leigeil leis an fhrithealaiche comharran ath-chleachdadh a lorg agus a dhiùltadh [S1].

Ro-innleachd lorgaidh

Faodar so-leòntachd ann an làimhseachadh JWT a chomharrachadh le bhith a’ dèanamh anailis air structar comharran agus giùlan freagairt frithealaiche:

  • Sgrùdadh cinn : A ’sgrùdadh bann-cinn alg (algorithm) gus dèanamh cinnteach nach eil e air a shuidheachadh gu“ gin ”agus a’ cleachdadh inbhean criptografach ris a bheil dùil [S1].
  • Dearbhadh tagraidh : A’ dearbhadh làthaireachd agus dligheachd nan tagraidhean exp (crìoch) agus aud (luchd-èisteachd) taobh a-staigh uallach pàighidh JSON [S1].
  • Deuchainn dearbhaidh : Deuchainn a bheil am frithealaiche gu ceart a’ diùltadh comharran a thàinig gu crìch a rèir an tagraidh exp no a tha airson luchd-èisteachd eadar-dhealaichte mar a tha air a mhìneachadh leis an tagradh aud [S1].