惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

IT之家
IT之家
C
CXSECURITY Database RSS Feed - CXSecurity.com
V
Visual Studio Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
小众软件
小众软件
L
LangChain Blog
Cyberwarzone
Cyberwarzone
美团技术团队
The Register - Security
The Register - Security
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
T
Tor Project blog
V
V2EX
Security Archives - TechRepublic
Security Archives - TechRepublic
Hacker News: Ask HN
Hacker News: Ask HN
L
LINUX DO - 最新话题
Recent Announcements
Recent Announcements
H
Hackread – Cybersecurity News, Data Breaches, AI and More
酷 壳 – CoolShell
酷 壳 – CoolShell
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
aimingoo的专栏
aimingoo的专栏
人人都是产品经理
人人都是产品经理
F
Full Disclosure
V2EX - 技术
V2EX - 技术
The Cloudflare Blog
博客园 - 叶小钗
T
Threat Research - Cisco Blogs
阮一峰的网络日志
阮一峰的网络日志
G
GRAHAM CLULEY
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Latest news
Latest news
S
Security @ Cisco Blogs
Spread Privacy
Spread Privacy
Project Zero
Project Zero
K
Kaspersky official blog
MyScale Blog
MyScale Blog
Attack and Defense Labs
Attack and Defense Labs
云风的 BLOG
云风的 BLOG
博客园 - 【当耐特】
Hacker News - Newest:
Hacker News - Newest: "LLM"
大猫的无限游戏
大猫的无限游戏
P
Privacy International News Feed
Google DeepMind News
Google DeepMind News
WordPress大学
WordPress大学
C
Cybersecurity and Infrastructure Security Agency CISA
Webroot Blog
Webroot Blog
罗磊的独立博客
Vercel News
Vercel News
N
News and Events Feed by Topic
A
Arctic Wolf
C
CERT Recently Published Vulnerability Notes

陈少文的网站

巨变与机遇的未来十年 Kubernetes 平台管理软件压力测试方案 使用镜像部署 Hexo 静态页面 终于等到你 - GitHub 镜像仓库服务(ghcr.io) 一起来学 Go --(6)Interface 一起来学 Go --(5)Goroutine 和 Channel 什么是函数式编程 如何在 Kubernetes 集群集成 Kata 柯里化与偏函数 使用 PyGithub 自动创建 Label 软件产品是团队能力的输出 Helm 2 、Helm 3 比较 IoT 变现 Kubernetes 中的 DNS 服务 国内的 Helm 镜像源 Harbor 使用自签证书支持 Https 访问 DevOps 工具链之 Prow 如何使用 kfctl 安装 Kubeflow VS Code 无法下载 Go 插件的工具包 工程师更应具有服务精神 你不知道的 Docker 使用技巧 使用 Docker 运行 Tensorflow 论中国 什么是左移 如何清空 Git 仓库全部历史记录 一禅小和尚 有风吹过厨房 时间的玫瑰 如何在 CentOS 安装 GPU 驱动 开发 Tips(19) 使用 Velero 备份 Kubernetes 集群 Kubernetes Cheat Sheet 开发 Tips(18) 如何构建一个 Java 工程 开发 Tips(17) KubeSpray 安装 Kubernetes 报错 ip in ansible_all_ipv4_addresses 基于 Kubernetes 和 Jenkins 搭建自动化测试系统 在 Kubernetes 上动态创建 Jenkins Slave 使用 Jenkins 进行服务拨测 开发 Tips(16) Kubernetes 签发 Ingress 证书及日常故障运维 Kubernetes 中 Deployment 的基本操作 Kubernetes 中的证书 如何使用 KubeBuilder 开发一个 Operator Kubernetes 1.6.0 安装问题汇总 镜像管理工具 -- Harbor 开发 Tips(15) Docker 如何拉取镜像 开发 Tips(14) 使用 Helm 安装 harbor 开发 Tips(13) 使用 S2I 构建云原生应用 在 Kubernetes 中使用 emptyDir、hostPath、localVolume 开发 Tips(12) 开发 Tips(11) 代码质量分析工具 SonarQube 使用 Kubeadm 安装 Kubernetes 集群 一起来学 Go --(4)常用函数 Kubernetes 中的 Ceph Kubernetes 之 Volumes Kubernetes 之 Labels、Selectors 开发 Tips(10) 开源正在重构商业模式 Kubernetes 之网络 Kubernetes 之 API 使用 Helm 和 Operator 快速部署 Prometheus Kubernetes 复杂有状态应用管理框架 -- Operator Kubernetes 的包管理器 -- Helm 一起来学 Go --(3)Go Modules 如何一步一步地优化博客方案 kubectl 实用指南 Kubernetes 中的基本概念 搭建远程 Kubernetes 开发环境 大公司和小公司的 ToB 思路 开发 Tips(9) Go 入门指南 一起来学 Go --(2)数据与逻辑结构 如何预防 Web 富文本中的 XSS 攻击 django-xss-cleaner 云工作时代 一起来学 Go --(1)背景与特点 SaaS 开发团队的不同阶段 你不知道的 Git 使用技巧 输出既服务 微服务设计 继续奔跑 开发 Tips(8) 从账户安全到二次验证 Django 性能之数据库查询优化 Django 性能之分库分表 敏捷开发之研发流程 打造一致性的团队 开发 Tips(7) Pytest 进阶学习之 Mock PaaS 部署之 buildpack Go 开发配置 领域输出才是 PaaS 的核心竞争力 Pytest 入门学习 开发 Tips(6) 如何使用 Jenkins、Docker、GitLab 搭建 Django 自动化部署流程
使用 Base64 解码 JWT Playload 数据不完整
微信公众号 · 2020-06-08 · via 陈少文的网站

Please enable Javascript to view the contents

在对 JWT 进行 Base64 解码时,发现 JSON 数据不完整。本文主要介绍相关知识点并解决这个问题。

1. JWT 简介

JWT 通过在 Header 中设置 Authorization: Bearer <token> 进行认证的传递。

JWT Token 是一个 . 连接的 Base64 编码字符串,类似这样 Header.Payload.Signature ,有三部分组成:

  • Header ,定义 Token 类型和加密算法
1
2
3
4
{
  "alg": "HS256",
  "typ": "JWT"
}
  • Payload ,负载信息,通常是 iss(签发者),exp(过期时间),sub(面向的用户),aud(接收方),iat(签发时间)等
1
2
3
4
5
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}
  • Signature ,对 Base64 编码的 Header 和 Playload 进行签名,防止信息被篡改。
1
2
3
4
5
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your-256-bit-secret
)

jwt.io 提供了一个在线解析 Token 的工具。

2. Base64 解码

“encoding/base64” 提供了四种编码和解码的方法:

  • StdEncoding , 常规编码,不足 3 倍时,使用 = 补齐
  • URLEncoding , URL safe 编码,替换掉字符串中的特殊字符 +/ 转化成 -_
  • RawStdEncoding , 常规编码,末尾不补 =
  • RawURLEncoding , URL safe 编码,末尾不补 =

下面,通过具体代码,看看它们之间的差别。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
package main

import (
    "encoding/base64"
    "fmt"
)

func coding(msg []byte){
    fmt.Println("Input :", string(msg))

    encoded := base64.StdEncoding.EncodeToString(msg)
    fmt.Println("StdEncoding :", encoded)
    decoded, _ := base64.StdEncoding.DecodeString(encoded)
    fmt.Println("StdEncoding :", string(decoded))

    encoded = base64.URLEncoding.EncodeToString(msg)
    fmt.Println("URLEncoding :", encoded)
    decoded, _ = base64.URLEncoding.DecodeString(encoded)
    fmt.Println("URLEncoding :", string(decoded))

    encoded = base64.RawStdEncoding.EncodeToString(msg)
    fmt.Println("RawStdEncoding :", encoded)
    decoded, _ = base64.RawStdEncoding.DecodeString(encoded)
    fmt.Println("RawStdEncoding :", string(decoded))

    encoded = base64.RawURLEncoding.EncodeToString(msg)
    fmt.Println("RawURLEncoding :", encoded)
    decoded, _ = base64.RawURLEncoding.DecodeString(encoded)
    fmt.Println("RawURLEncoding :", string(decoded))
}

func main() {
    // 补齐
    coding([]byte("https://www.chenshaowen.com/"))
    // URL Safe 编码
    coding([]byte("abc123!?$*&()'-=@~"))

}
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
Input : https://www.chenshaowen.com/
StdEncoding : aHR0cHM6Ly93d3cuY2hlbnNoYW93ZW4uY29tLw==
StdEncoding : https://www.chenshaowen.com/
URLEncoding : aHR0cHM6Ly93d3cuY2hlbnNoYW93ZW4uY29tLw==
URLEncoding : https://www.chenshaowen.com/
RawStdEncoding : aHR0cHM6Ly93d3cuY2hlbnNoYW93ZW4uY29tLw
RawStdEncoding : https://www.chenshaowen.com/
RawURLEncoding : aHR0cHM6Ly93d3cuY2hlbnNoYW93ZW4uY29tLw
RawURLEncoding : https://www.chenshaowen.com/
Input : abc123!?$*&()'-=@~
StdEncoding : YWJjMTIzIT8kKiYoKSctPUB+
StdEncoding : abc123!?$*&()'-=@~
URLEncoding : YWJjMTIzIT8kKiYoKSctPUB-
URLEncoding : abc123!?$*&()'-=@~
RawStdEncoding : YWJjMTIzIT8kKiYoKSctPUB+
RawStdEncoding : abc123!?$*&()'-=@~
RawURLEncoding : YWJjMTIzIT8kKiYoKSctPUB-
RawURLEncoding : abc123!?$*&()'-=@~

从输出的结果来看:

  1. Stdxxx 会对 Base64 编码执行补齐
  2. URLxxx 会对 Base64 编码进行转码

Base64 是公开的标准编码规则,但不同的库实现时,暴露出来的接口会有差异,使用正确的接口才能获得预期的结果。

3. JWT Playload 少了一部分

下面这段代码截取了 Playload 部分进行解析:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
package main

import (
    "encoding/base64"
    "fmt"
)

func main() {
    decoded := "eyJ1c2VybmFtZSI6ImFkbWluIiwidWlkIjoiYjhiZTZlZGQtMmM5Mi00NTM1LTliMmEtZGY2MzI2NDc0NDU4IiwiaWF0IjoxNTkxMzU0MDEwLCJpc3MiOiJrdWJlc3BoZXJlIiwibmJmIjoxNTkxMzU0MDEwfQ"
    encoded, _ := base64.StdEncoding.DecodeString(decoded)
    fmt.Println(string(encoded))
}

得到结果:

1
{"username":"admin","uid":"b8be6edd-2c92-4535-9b2a-df6326474458","iat":1591354010,"iss":"","nbf":1591354010

发现,这并不是一个完整的 Json 对象。在 dgrijalva/jwt-go 库中,可以看到 EncodeSegment 函数的实现:

1
2
3
4
// Encode JWT specific base64url encoding with padding stripped
func EncodeSegment(seg []byte) string {
	return strings.TrimRight(base64.URLEncoding.EncodeToString(seg), "=")
}

显然,dgrijalva/jwt-go 使用的是 RawURLEncoding 的方式进行编码。

调整之后,执行下面这段代码:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
package main

import (
    "encoding/base64"
    "fmt"
)

func main() {
    decoded := "eyJ1c2VybmFtZSI6ImFkbWluIiwidWlkIjoiYjhiZTZlZGQtMmM5Mi00NTM1LTliMmEtZGY2MzI2NDc0NDU4IiwiaWF0IjoxNTkxMzU0MDEwLCJpc3MiOiJrdWJlc3BoZXJlIiwibmJmIjoxNTkxMzU0MDEwfQ"
    encoded, _ := base64.RawURLEncoding.DecodeString(decoded)
    fmt.Println(string(encoded))
}

得到正确结果:

1
{"username":"admin","uid":"b8be6edd-2c92-4535-9b2a-df6326474458","iat":1591354010,"iss":"","nbf":1591354010}

另外一种方式是,使用 dgrijalva/jwt-go 内置的解析器,提供完整的 JWT Token 进行解析。可以看看下面这段代码:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
package main

import (
    "github.com/dgrijalva/jwt-go"
    "fmt"
)

func main() {
    decoded := "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwidWlkIjoiYjhiZTZlZGQtMmM5Mi00NTM1LTliMmEtZGY2MzI2NDc0NDU4IiwiaWF0IjoxNTkxMzU0MDEwLCJpc3MiOiJrdWJlc3BoZXJlIiwibmJmIjoxNTkxMzU0MDEwfQ.psKkj8vYWm9Crf9jnbB_PNestLNksaS9vuMvQI3C-dU"
    type Claims struct {
        Username string `json:"username"`
        UID      string `json:"uid"`
        jwt.StandardClaims
    }

    claim := Claims{}
    parser := jwt.Parser{}
    parser.ParseUnverified(decoded, &claim)
    fmt.Println(claim.Username)
}

得到预期结果:

admin

4. 参考


微信公众号