htb (その14) JWTとは ~魔道~

hackthebox

はじめに

JWT(JSON Web Token)とは,JSON形式で情報をやり取りする際に使用されるトークンであり,認証に使用されます(認証トークン).JWTは,ユーザーがログインした後に,そのユーザーに関する情報をトークンに格納し,サーバーとの通信中にそのトークンを使用して情報を送信することができます.この記事では,JWTの概要,構造,利用方法,実装方法,セキュリティについて説明します.

前回の挑戦

前回の記事はこちら,「(その13) Netmon 」を攻略しました.

https://hamaruki.com/hack-the-box_netmon_walkthrough/

魔法使いへの道とは

http://hamaruki.xmagix.com/the-road-to-wizard-hacker/

認証トークンとは

https://hamaruki.com/history-and-types-of-authentication-tokens/

JWTとは

JWT structure

JWTは,以下の3つの部分で構成されています.

  1. ヘッダー(Header)
  2. ペイロード(Payload)
  3. 署名(Signature)

JWT components

1. Header

JWTのヘッダーは,JWTのタイプと使用するアルゴリズムについての情報を含んでいます.ヘッダーは,Base64エンコードされたJSON形式の文字列で表されます.

2. Payload

JWTのペイロードは,トークンに格納する情報を含んでいます.例えば,ユーザーID,ロール,有効期限などが含まれます.ペイロードは,Base64エンコードされたJSON形式の文字列で表されます.

3. Signature

JWTの署名は,ヘッダー,ペイロード,および秘密鍵を使用して生成されます.署名を検証するには,公開鍵を使用する必要があります.

JWTのしくみ

JWTを使用すると,ユーザーが認証された後に,サーバーはJWTを生成し,そのJWTをユーザーに送信します.ユーザーは,そのJWTを保持し,その後,サーバーとの通信中にそのJWTを使用してリクエストを送信します.サーバーは,JWTを受信し,署名を検証して,ペイロードに含まれる情報を使用してリクエストを処理します.

なぜJWTを使うのか?

JWTを利用するメリット

JWTを使用することには,以下の利点があります.

  1. セキュリティ性: JWTは,署名を検証することにより,トークンの改ざんや偽装を防止することができます.
  2. 拡張性: JWTのペイロードには,必要な情報を追加できます.
  3. 軽量性: JWTは,Base64エンコードされたJSON形式で表されるため,コンパクトで,軽量な通信が可能です.

JWTのユースケース

JWTは,以下のようなケースで使用されることがあります.

  1. Webアプリケーション: JWTを使用して,ユーザーの認証情報を管理します.
  2. API: JWTを使用して,APIの認証を管理します.
  3. モバイルアプリケーション: JWTを使用して,ユーザーの認証情報を管理します.

JWTの実装方法

Creating and signing JWTs

JWTを生成するには,秘密鍵を使用して署名する必要があります.以下は,PythonでJWTを生成する例です.


import jwt

payload = {'user_id': 12345, 'exp': 1631730948}
secret_key = 'my_secret_key'

token = jwt.encode(payload, secret_key, algorithm='HS256')

Verifying JWTs

JWTを検証するには,公開鍵を使用します.以下は,PythonでJWTを検証する例です.


import jwt

token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjM0NSwiZXhwIjoxNjMxNzMwOTQ4fQ.H_Rx34d1fBqy3B-TQBEJUP_j-GR0M7FL-_ZCmJsdgNs'
public_key = 'my_public_key'

try:
    payload = jwt.decode(token, public_key, algorithms=['HS256'])
    print(payload)
except jwt.InvalidTokenError:
    print('Invalid token')

Storing JWTs

JWTは,セッションストレージ,クッキー,またはローカルストレージなどに保存することができます.ただし,セキュリティ上の理由から,秘密鍵を保存してはいけません.

JWTを使用してみる

Securing JWTs

JWTのセキュリティを確保するためには,以下のような方法があります.

  1. HTTPSを使用する.
  2. ユーザーIDやパスワードなど,機密性の高い情報をペイロードに含めない.
  3. 秘密鍵を安全に保管する.
  4. 署名アルゴリズムを慎重に選択する.
  5. JWTの有効期限を適切に設定する.

Refreshing JWTs

JWTの有効期限が切れた場合,トークンを更新することができます.以下は,PythonでJWTをリフレッシュする例です.


import jwt

old_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjM0NSwiZXhwIjoxNjMxNzMwOTQ4fQ.H_Rx34d1fBqy3B-TQBEJUP_j-GR0M7FL-_ZCmJsdgNs'
secret_key = 'my_secret_key'

payload = jwt.decode(old_token, secret_key, algorithms=['HS256'])
payload['exp'] = 1631731248

new_token = jwt.encode(payload, secret_key, algorithm='HS256')

Revoking JWTs

JWTを無効にするには,トークンをブラックリストに登録する必要があります.ただし,ブラックリストに登録する場合,トークンを管理する必要があります.

JWTの欠点

JWTの欠点は,以下の通りです.

  • JWTは,署名されているため,サーバーがシークレットキーを持っていない場合,検証できない.
  • JWTは,ペイロードが暗号化されていないため,機密性を保証できない.
  • JWTは,サイズが大きくなりがちなため,パフォーマンスの問題が発生する場合がある.

JWTの代替手段

JWTの代替手段として,以下のものがあります.

OAuth2.0

OAuth2.0は,Webアプリケーションやモバイルアプリケーションなどで,外部のAPIやサービスを利用するための認可フレームワークです.OAuth2.0では,ユーザーが自分のアカウント情報を提供することで,外部のアプリケーションがAPIやサービスにアクセスできるようになります.

OAuth2.0では,以下のような役割があります.

  • ユーザー: 認可を与える人.
  • アプリケーション: 認可を受けるアプリケーション.
  • 認可サーバー: ユーザーの認可を管理するサーバー.
  • リソースサーバー: APIやサービスを提供するサーバー.

OAuth2.0では,以下のフローがあります.

  1. アプリケーションが認可サーバーにリダイレクトする.
  2. ユーザーが認可を許可するかどうかを決定する.
  3. 認可サーバーがアクセストークンを発行する.
  4. アプリケーションがアクセストークンを使ってリソースサーバーにアクセスする.
  5. リソースサーバーがリクエストを処理し,結果を返す.

OAuth2.0は,他のAPIやサービスを利用するための認可フレームワークとして,非常に広く利用されています.OAuth2.0を利用することで,外部のAPIやサービスを安全に利用することができます.

OpenID Connect

OpenID Connectは,OAuth2.0の上に構築された認証プロトコルです.OpenID Connectでは,ユーザーの認証に関する情報をJSON Webトークン(JWT)を使ってやりとりします.また,OAuth2.0と同様に,APIやサービスの利用を許可するための認可フレームワークとしても利用されます.

OpenID Connectでは,以下のような役割があります.

  • ユーザー: 認証される人.
  • クライアント: ユーザーを認証するために,OpenID Connectプロバイダーにリクエストを送信するアプリケーション.
  • OpenID Connectプロバイダー: ユーザーを認証するサーバー.

OpenID Connectでは,以下のフローがあります.

  1. クライアントがOpenID Connectプロバイダーにリクエストを送信する.
  2. ユーザーがOpenID Connectプロバイダーにログインする.
  3. OpenID Connectプロバイダーがユーザーの情報をJWTにまとめて,クライアントに送信する.
  4. クライアントがJWTを検証し,ユーザーを認証する.

OpenID Connectは,認証プロトコルとして広く利用されており,多くのWebアプリケーションやモバイルアプリケーションで利用されています.OpenID Connectを利用することで,ユーザーの認証情報を安全に扱うことができます.

まとめ

JWTは,セキュリティ性,拡張性,軽量性に優れた認証トークンです.JWTを使用することで,Webアプリケーション,API,モバイルアプリケーションなどで認証を管理することができます.JWTを実装する際には,セキュリティ上の注意点やベストプラクティスを考慮することが重要です.

FAQ

  1. JWTは何の略称ですか?

    • JWTは,JSON Web Tokenの略称です.
  2. JWTはどのような情報をペイロードに含めることができますか?

    • JWTのペイロードには,必要な情報を追加することができます.ただし,機密性の高い情報は含めないようにしましょう.
  3. JWTを検証するには,どのような情報が必要ですか?

    • JWTを検証するには,公開鍵が必要です.
  4. JWTの有効期限を延長することはできますか?

    • JWTの有効期限を延長することはできません.ただし,有効期限が切れたトークンを更新することはできます.
  5. JWTを無効にするには,どのような方法がありますか?

    • JWTを無効にするには,トークンをブラックリストに登録する方法があります.ただし,ブラックリストに登録する場合,トークンを管理する必要があります.

コメント

タイトルとURLをコピーしました