Смысл в JWT, если любой его может распарсить?

Question

[Иннокентий Иванов]

Ребят, шибко не бейте. Лучше объясните, желательно непопулярно. До сих пор плохо понимаю, как работают JWT-токены.

Если их так легко распарсить (jwt.ms чел) и уже по распарсенной инфе проверять, имеет ли субъект доступ к объекту, то что мне мешает создать свой JWT-токен для атаки на ресурс?

Допустим, бек совсем тупой, не имеет БД. Вдруг у меня кончился доступ к ресурсу, я меняю в распарсенном JWT дату на более свежую, собираю его обратно, иду на ресурс - он меня пропускает. Не? Почему это невозможно?

Comments

[Алексей Ярков]

Почитайте для общего понимания картины

[Andrei SunnyPh]

JWT токен генерируется для каждого успешно авторизованного пользователя, с помощью секретного ключа, так что если пользователь попытается получить данные с ресурса к которому у него уже закончился доступ, меняя просто дату, то такой токен не будет валидными и доступ к ресурсу для такого запроса будет запрещен. На примере .NET Identity в этом видео есть короткие объяснения как происходит генерация JWT токена. Это для C# и ASP.NET, но для других языков и фреймворков, все работает также.

Answer 1

[mayton2019]

JWT токен содержит внутри своего тела digital signature или HMAC (я не помню точно что из них)
и это позволяет серверу очень быстро проверить валидность токена. Подпись закрепляет
все параметры токена в том числе дату валидности.

То-есть сценарий фальсификации, который ты придумал скорее всего не сработает. Атакующий
должен иметь ключи для шифровки "шмяком" или ключи для подписи.

Answer 2

[Василий]

JWT это коробочка. Вот коробочки бывают с замком и без замка. Коробочку без замка может любой открыть и прочитать. коробочке с замком нужен ключик. Вот у вас Алиса и Боб знают этот ключик и могут обмениваться данными в этой коробочке. А кто то третий не знаю ключика не сможет не подменить коробочку , не достать из нее данные. не положить в нее другие. Вот собственно как работает JWT

Comments

[Василий Дёмин]

Данные из JWT может достать кто угодно, вот подменить без ключа не выйдет

[Василий]

ага прочитать можно заменить нельзя. секреты передавать нельзя в jwt