まったり技術ブログ

Technology is power.

【セキュリティ】jwt-goを使ってみる - その2

f:id:motikan2010:20170514015521p:plain
前回に引き続き「jwt-go」でいろいろ試してみます。

motikan2010.hatenadiary.com

主に署名アルゴリズムの改ざんでの動作確認を行っていきます。

動作確認

署名アルゴリズムを改ざん

なぜこんなことを試すのかというと、下記の記事を読んでみると、トークン内の署名アルゴリズムを改ざんしてリクエストを送信すると、改ざん後の署名アルゴリズムで署名の検証が行われる実装があるようです。

oauth.jp

それを"jwt-go"の場合だとどのような動作をするのかを確認してみます。
f:id:motikan2010:20170514014545j:plain

続きを読む

【セキュリティ】jwt-goを使ってみる - その1

f:id:motikan2010:20170512014516p:plain

前回、RailsのJWTライブラリである"knock"を使って署名アルゴリズムにNoneを使えるのかを試してみた(使えなかった)ので、今回はGo言語のJWTライブラリである"jwt-go"を使って、署名アルゴリズムに「SHA256」と「none」を試した(使えた)ことを書く。 motikan2010.hatenadiary.com

github.com

続きを読む