即使通过了不正确的参数,JWT也始终有效

时间:2018-02-03 23:23:52

标签: go jwt

我正在使用jwt-go库,我已经编写了在我的应用程序中实现它的测试。但是,无论我创建什么标记,它都会返回为有效。我猜我不是在检查什么。 documentation已过期,因为声明不再支持索引。

这是我的应用程序代码:

// AuthService - provides authentication
type AuthService struct{}

// CreateToken - signs and encrypts auth token
func (a *AuthService) CreateToken(email, password string) (string, error) {
    token := jwt.New(jwt.SigningMethodHS256)
    token.Claims = buildClaims(email, password)

    tokenString, err := token.SignedString([]byte(os.Getenv("AUTH_SECRET")))
    if err != nil {
        return "", err
    }

    return tokenString, nil
}

// VerifyToken - ensures that the token is valid
func (a *AuthService) VerifyToken(email, password, token string) bool {
    claims := buildClaims(email, password)
    parser := new(jwt.Parser)

    parsedClaims, _ := parser.ParseWithClaims(token, claims, getKey)

    return parsedClaims.Valid
}

func getKey(t *jwt.Token) (interface{}, error) {
    return []byte(os.Getenv("AUTH_SECRET")), nil
}

func buildClaims(email, password string) jwt.Claims {
    claims := make(jwt.MapClaims)

    claims["email"] = email
    claims["password"] = password
    claims["exp"] = time.Now().Add(time.Hour * 24).Unix()
    claims["iat"] = time.Now().Unix()

    return claims
}

这是失败的测试:

func TestAuthToken(t *testing.T) {
    // var err error
    var valid bool

    os.Setenv("AUTH_SECRET", "secret")

    email := "test@test.com"
    password := "password"

    auth := &AuthService{}

    token, err := auth.CreateToken(email, password)
    if err != nil {
        t.Errorf("AuthService failed to create a token: %v", err)
    }

    valid = auth.VerifyToken(email, password, token)
    if !valid {
        t.Errorf("AuthService failed to verify token: %v", err)
    }

    valid = auth.VerifyToken("invalid", "", token)
    fmt.Println(valid)
    if valid {
        t.Error("AuthService verified a bad password")
    }
}

我不明白为什么最终测试会返回有效。事实上,我可以在密码或电子邮件中加入任何内容,它们将被视为有效。

这是否可能与密码和电子邮件不是标准声明这一事实有关?

1 个答案:

答案 0 :(得分:1)

是的,因为emailpassword不是标准声明的一部分,所以在您的示例中使用了验证方法

func (m MapClaims) Valid() error {
    vErr := new(ValidationError)
    now := TimeFunc().Unix()

    if m.VerifyExpiresAt(now, false) == false {
        vErr.Inner = errors.New("Token is expired")
        vErr.Errors |= ValidationErrorExpired
    }

    if m.VerifyIssuedAt(now, false) == false {
        vErr.Inner = errors.New("Token used before issued")
        vErr.Errors |= ValidationErrorIssuedAt
    }

    if m.VerifyNotBefore(now, false) == false {
        vErr.Inner = errors.New("Token is not valid yet")
        vErr.Errors |= ValidationErrorNotValidYet
    }

    if vErr.valid() {
        return nil
    }

    return vErr
}

您真的需要验证密码和用户名吗?因为已经检查了整个令牌的传递时间。但是如果你想要检查这些数据,你可以做一些struct

type CustomClaims struct {
    jwt.StandardClaims
    Email    string `json:"email,omitempty"`
    Password string `json:"password,omitempty"`
}

然后,您可以在解析calims后在VerifyToken method令牌中验证。

if claims, ok := parsedClaims.Claims.(*CustomClaims); ok {
    if claims.Password != password {
        parsedClaims.Valid = false
    }
    if claims.Email != username {
        parsedClaims.Valid = false
    }
}

其他一些事情:

  1. 您无需在VerifeToken中构建calims,只需传递Claims个对象,或使用自定义Valid方法传递您自己的内容即可满足界面
  2. 要创建令牌,您可以使用NewWithClaims方法