JWT令牌和CSRF

Question

关于JWT和CSRF合作，我仍然不清楚。我理解JWT的基本原理（它是什么以及它是如何工作的）。当与会话一起使用时，我也理解CSRF。同样地，我知道将JWT存储在localStorage中存在风险，这就是您需要csrf令牌的原因。所以我的问题是，我如何使用它们。为简单起见，我说我有一个登录页面。

1）我让用户登录，一旦消费了电子邮件和密码，如果用户通过身份验证，服务器将发送CSRF，并将使用JWT存储httpOnly cookie（如何使用PHP设置cookie）。我的理解是你可以使用header('Set-Cookie: X-Auth-Token=token_value; Secure; HttpOnly;');，请确认是否可以这样做。

2）一旦我用JWT设置了cookie。我如何发送带有后续请求的CSRF令牌＆gt;根据我的理解，您可以在标题中设置它们。因此，如果我正在发出Ajax请求，我会将它们放在标题中。

3）一旦发出请求并且CSRF令牌与请求一起发送。如何进行验证。我在比较什么？

最后，这样做是否安全！

如果您能尽可能多地提供详细信息，我将非常感谢。

Answer 1

我自己看过和使用过的一种方法是将CSRF令牌包含在JWT中作为声明。因此，当用户发送用户名和密码时，您可以执行以下操作：

1. 如果用户名和密码正确，请继续执行以下列表。
2. 创建新的JWT并在有效负载中包含生成的CSRF令牌作为声明，然后签署JWT。
3. 通过设置包含JWT的HTTPOnly cookie来响应客户端的身份验证请求。这可确保只有浏览器（不是客户端应用程序和可能的恶意脚本）才能访问JWT。将cookie设置为secure也是一个好主意。如果使用不安全的通信信道（即不是https），这可以防止浏览器发送cookie。
4. 设置JWT cookie时，还应设置HTTP标头，该标头还包含生成的CSRF标记。请注意，现在您将CSRF令牌放入JWT cookie和HTTP标头内的位置。
5. 在您的客户端应用中，将标题中的CSRF令牌存储到localstorage中。
6. 对于每个请求，从localstorage获取CSRF令牌并将其作为请求标头包含（包含JWT的cookie由浏览器自动传递）。
7. 服务器应从cookie中读取JWT，验证其签名并从JWT的有效负载中读取CSRF令牌。然后它应该将它与请求标头中的CSRF令牌进行比较。如果匹配，则服务器可以继续处理请求。

我建议您观看this谈论JWT。它详细介绍了相同的方法（也有很好的图表）。您可以随意观看整个演讲，或者如果您对CSRF特别感兴趣，请从36:29开始。

以下是幻灯片（来自上面链接的演示文稿），演示了JWT和CSRF令牌如何一起使用。我用红色数字注释它，对应上面的清单。

Answer 2

防范CSRF的常见范例，它为每个“表单”生成一个令牌，并验证为特定表单设置的令牌是否正确。

这样，攻击者无法猜出令牌，因此可以创建一个发送到您服务器的外部表单。

通常，设置该令牌的方法是通过Cookie，并且客户端应用程序会将其附加到某个自定义标头，这将为您提供额外的保护，然后，服务器应该比较cookie值和标题值。

重要，令牌仅对一个会话有效，否则，攻击者可以重复使用他在攻击媒介中获得的相同令牌。

JWT，是一种向系统验证用户不验证请求是否有效的方法。

我将尝试通过示例解释，假设您没有实施任何针对CSRF的保护，但您确实有一种机制来验证您的用户（使用JWT），因此用户使用正确的用户和放大器登录;通过，您的服务器将发送一个JTW，客户端将其保存到localStorage。 现在，攻击者可以在他的站点上制作一个指向你的服务器的表单，假设他知道用户的JWT令牌（他用MITM等其他方法得到它），他需要做的就是诱骗用户进入他的带有表单的页面，如果有任何问题，表单将被发送给您，您的服务器将接受请求并且攻击将成功。

如果您实施任何CSRF机制，示例中的攻击者将无法猜测当前令牌，因此您的服务器将忽略其请求。