检测到 JSON Web Token

info Web App Scanning 插件 ID 112686

简介

检测到 JSON Web Token

描述

JSON Web Token (JWT) 是一项开放标准 (RFC 7519),它定义了一种数据结构,用于在当事方之间将声明作为 JSON 对象安全地传输。JSON Web Token 可实例化为 JSON Web Signature (JWS) 或 JSON Web Encryption (JWE),具体取决于应用程序安全注意事项。

基于 JSON Web Signature 的标记是 API 实现中最常用的标记,并且使用三个以句点分隔的 base64 URL 编码部分构建:

- JSON Object Signing 和 Encryption (JOSE) 标头:至少描述用于签名或加密的算法 (alg),以及正在处理的内容的类型 (typ)。对于 JSON Web Tokens,类型通常设置为“JWT”。

- 负载:包含要共享的声明的 JSON 对象。声明可属于三类:注册(来自规范)、公共或私有,其名称在声明集中必须是唯一的。

- 签名:通过使用标头中的特定算法和密钥或私钥计算得出。这可确保 JSON Web Token 的完整性。

扫描程序检测到存在基于 JSON Web Signature 的标记(包含在输出中提供的信息)。

另见

https://blog.angular-university.io/angular-jwt/

https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html

https://jwt.io

插件详情

严重性: Info

ID: 112686

类型: remote

发布时间: 2021/2/8

最近更新时间: 2024/9/24

扫描模板: api, basic, full, pci, scan