توکن‌های JWT: بهترین شیوه‌های امنیتی برای برنامه‌های جهانی

توکن‌های وب JSON (JWTs) به یک روش استاندارد برای نمایش امن ادعاها (claims) بین دو طرف تبدیل شده‌اند. ساختار فشرده، سهولت استفاده و پشتیبانی گسترده در پلتفرم‌های مختلف، آن‌ها را به گزینه‌ای محبوب برای احراز هویت و مجوزدهی در برنامه‌های وب مدرن، API‌ها و میکروسرویس‌ها تبدیل کرده است. با این حال، استفاده گسترده از آن‌ها منجر به بررسی دقیق‌تر و کشف آسیب‌پذیری‌های امنیتی متعددی نیز شده است. این راهنمای جامع، بهترین شیوه‌های امنیتی JWT را بررسی می‌کند تا اطمینان حاصل شود که برنامه‌های جهانی شما در برابر حملات احتمالی، امن و مقاوم باقی می‌مانند.

JWT چیست و چگونه کار می‌کند؟

یک JWT یک توکن امنیتی مبتنی بر JSON است که از سه بخش تشکیل شده است:

• هدر (Header): نوع توکن (JWT) و الگوریتم امضای استفاده شده (مانند HMAC SHA256 یا RSA) را مشخص می‌کند.
• پِی‌لود (Payload): حاوی ادعاها (claims) است که عبارت‌هایی درباره یک موجودیت (معمولاً کاربر) و متادیتای اضافی هستند. ادعاها می‌توانند ثبت‌شده (مانند صادرکننده، موضوع، زمان انقضا)، عمومی (تعریف‌شده توسط برنامه) یا خصوصی (ادعاهای سفارشی) باشند.
• امضا (Signature): با ترکیب هدر رمزگذاری‌شده، پِی‌لود رمزگذاری‌شده، یک کلید مخفی (برای الگوریتم‌های HMAC) یا یک کلید خصوصی (برای الگوریتم‌های RSA/ECDSA) و الگوریتم مشخص‌شده، و سپس امضای نتیجه ایجاد می‌شود.

این سه بخش با Base64 URL کدگذاری شده و با نقطه (.) به هم متصل می‌شوند تا رشته نهایی JWT را تشکیل دهند. هنگامی که کاربر احراز هویت می‌شود، سرور یک JWT تولید می‌کند که کلاینت آن را ذخیره کرده (معمولاً در local storage یا کوکی) و در درخواست‌های بعدی خود ارسال می‌کند. سپس سرور JWT را برای مجوزدهی به درخواست، اعتبارسنجی می‌کند.

درک آسیب‌پذیری‌های رایج JWT

قبل از پرداختن به بهترین شیوه‌ها، درک آسیب‌پذیری‌های رایج مرتبط با JWT بسیار مهم است:

• سردرگمی الگوریتم (Algorithm Confusion): مهاجمان از قابلیت تغییر پارامتر alg در هدر از یک الگوریتم نامتقارن قوی (مانند RSA) به یک الگوریتم متقارن ضعیف (مانند HMAC) سوءاستفاده می‌کنند. اگر سرور از کلید عمومی به عنوان کلید مخفی در الگوریتم HMAC استفاده کند، مهاجمان می‌توانند JWTهای جعلی بسازند.
• افشای کلید مخفی: اگر کلید مخفی مورد استفاده برای امضای JWTها به خطر بیفتد، مهاجمان می‌توانند JWTهای معتبر تولید کرده و هویت هر کاربری را جعل کنند. این اتفاق می‌تواند به دلیل نشت کد، ذخیره‌سازی ناامن یا آسیب‌پذیری در سایر بخش‌های برنامه رخ دهد.
• سرقت توکن (XSS/CSRF): اگر JWTها به صورت ناامن ذخیره شوند، مهاجمان می‌توانند آن‌ها را از طریق حملات اسکریپت‌نویسی بین سایتی (XSS) یا جعل درخواست بین سایتی (CSRF) به سرقت ببرند.
• حملات بازپخش (Replay Attacks): مهاجمان می‌توانند از JWTهای معتبر برای به دست آوردن دسترسی غیرمجاز مجدداً استفاده کنند، به ویژه اگر توکن‌ها عمر طولانی داشته باشند و اقدامات متقابل خاصی پیاده‌سازی نشده باشد.
• حملات Padding Oracle: هنگامی که JWTها با الگوریتم‌های خاصی رمزنگاری شده و padding به درستی مدیریت نشود، مهاجمان به طور بالقوه می‌توانند JWT را رمزگشایی کرده و به محتویات آن دسترسی پیدا کنند.
• مشکلات انحراف ساعت (Clock Skew): در سیستم‌های توزیع‌شده، انحراف ساعت بین سرورهای مختلف می‌تواند منجر به شکست در اعتبارسنجی JWT شود، به خصوص در مورد ادعاهای انقضا.

بهترین شیوه‌های امنیتی JWT

در اینجا بهترین شیوه‌های امنیتی جامع برای کاهش خطرات مرتبط با JWTها آورده شده است:

۱. انتخاب الگوریتم امضای مناسب

انتخاب الگوریتم امضا بسیار حیاتی است. در اینجا مواردی است که باید در نظر بگیرید:

• از alg: none اجتناب کنید: هرگز اجازه ندهید هدر alg روی none تنظیم شود. این کار تأیید امضا را غیرفعال می‌کند و به هر کسی اجازه می‌دهد JWTهای معتبر ایجاد کند. بسیاری از کتابخانه‌ها برای جلوگیری از این مشکل پچ شده‌اند، اما اطمینان حاصل کنید که کتابخانه‌های شما به‌روز هستند.
• الگوریتم‌های نامتقارن را ترجیح دهید (RSA/ECDSA): هر زمان که ممکن است از الگوریتم‌های RSA (RS256, RS384, RS512) یا ECDSA (ES256, ES384, ES512) استفاده کنید. الگوریتم‌های نامتقارن از یک کلید خصوصی برای امضا و یک کلید عمومی برای تأیید استفاده می‌کنند. این کار مانع از جعل توکن توسط مهاجمان می‌شود، حتی اگر به کلید عمومی دسترسی پیدا کنند.
• کلیدهای خصوصی را به صورت امن مدیریت کنید: کلیدهای خصوصی را با استفاده از ماژول‌های امنیتی سخت‌افزاری (HSMs) یا سیستم‌های مدیریت کلید امن، به طور امن ذخیره کنید. هرگز کلیدهای خصوصی را در مخازن کد منبع کامیت نکنید.
• کلیدها را به طور منظم بچرخانید (Rotate): یک استراتژی چرخش کلید برای تغییر منظم کلیدهای امضا پیاده‌سازی کنید. این کار تأثیر یک کلید به خطر افتاده را به حداقل می‌رساند. استفاده از JSON Web Key Sets (JWKS) را برای انتشار کلیدهای عمومی خود در نظر بگیرید.

مثال: استفاده از JWKS برای چرخش کلید

یک اندپوینت JWKS مجموعه‌ای از کلیدهای عمومی را ارائه می‌دهد که می‌توان از آن‌ها برای تأیید JWTها استفاده کرد. سرور می‌تواند کلیدها را بچرخاند و کلاینت‌ها می‌توانند با فراخوانی اندپوینت JWKS، مجموعه کلیدهای خود را به طور خودکار به‌روز کنند.

/.well-known/jwks.json:

{
  "keys": [
    {
      "kty": "RSA",
      "kid": "key1",
      "alg": "RS256",
      "n": "...",
      "e": "AQAB"
    },
    {
      "kty": "RSA",
      "kid": "key2",
      "alg": "RS256",
      "n": "...",
      "e": "AQAB"
    }
  ]
}

۲. اعتبارسنجی صحیح JWTها

اعتبارسنجی صحیح برای جلوگیری از حملات ضروری است:

• تأیید امضا: همیشه امضای JWT را با استفاده از کلید و الگوریتم صحیح تأیید کنید. اطمینان حاصل کنید که کتابخانه JWT شما به درستی پیکربندی و به‌روز شده است.
• اعتبارسنجی ادعاها: ادعاهای ضروری مانند exp (زمان انقضا)، nbf (معتبر نبودن قبل از)، iss (صادرکننده) و aud (مخاطب) را اعتبارسنجی کنید.
• بررسی ادعای exp: اطمینان حاصل کنید که JWT منقضی نشده است. یک طول عمر معقول برای توکن پیاده‌سازی کنید تا پنجره فرصت برای مهاجمان به حداقل برسد.
• بررسی ادعای nbf: اطمینان حاصل کنید که JWT قبل از زمان شروع اعتبار خود استفاده نمی‌شود. این کار از حملات بازپخش قبل از زمانی که توکن برای استفاده در نظر گرفته شده است، جلوگیری می‌کند.
• بررسی ادعای iss: تأیید کنید که JWT توسط یک صادرکننده معتمد صادر شده است. این کار از استفاده JWTهای صادر شده توسط طرف‌های غیرمجاز جلوگیری می‌کند.
• بررسی ادعای aud: تأیید کنید که JWT برای برنامه شما در نظر گرفته شده است. این کار از استفاده JWTهای صادر شده برای برنامه‌های دیگر علیه برنامه شما جلوگیری می‌کند.
• پیاده‌سازی لیست رد (اختیاری): برای برنامه‌های حیاتی، پیاده‌سازی یک لیست رد (همچنین به عنوان لیست ابطال شناخته می‌شود) را برای باطل کردن JWTهای به خطر افتاده قبل از زمان انقضای آنها در نظر بگیرید. این کار پیچیدگی را افزایش می‌دهد اما می‌تواند به طور قابل توجهی امنیت را بهبود بخشد.

مثال: اعتبارسنجی ادعاها در کد (Node.js با jsonwebtoken)

const jwt = require('jsonwebtoken');

try {
  const decoded = jwt.verify(token, publicKey, {
    algorithms: ['RS256'],
    issuer: 'https://example.com',
    audience: 'https://myapp.com'
  });
  console.log(decoded);
} catch (error) {
  console.error('اعتبارسنجی JWT ناموفق بود:', error);
}

۳. ذخیره‌سازی امن JWTها در سمت کلاینت

نحوه ذخیره JWTها در سمت کلاینت به طور قابل توجهی بر امنیت تأثیر می‌گذارد:

• از Local Storage اجتناب کنید: ذخیره JWTها در local storage آن‌ها را در برابر حملات XSS آسیب‌پذیر می‌کند. اگر یک مهاجم بتواند جاوا اسکریپت را به برنامه شما تزریق کند، می‌تواند به راحتی JWT را از local storage بدزدد.
• از کوکی‌های HTTP-Only استفاده کنید: JWTها را در کوکی‌های HTTP-only با ویژگی‌های Secure و SameSite ذخیره کنید. کوکی‌های HTTP-only توسط جاوا اسکریپت قابل دسترسی نیستند و خطرات XSS را کاهش می‌دهند. ویژگی Secure تضمین می‌کند که کوکی فقط از طریق HTTPS منتقل می‌شود. ویژگی SameSite به جلوگیری از حملات CSRF کمک می‌کند.
• توکن‌های تازه‌سازی (Refresh Tokens) را در نظر بگیرید: یک مکانیزم توکن تازه‌سازی پیاده‌سازی کنید. توکن‌های دسترسی با عمر کوتاه برای مجوزدهی فوری استفاده می‌شوند، در حالی که توکن‌های تازه‌سازی با عمر طولانی برای به دست آوردن توکن‌های دسترسی جدید استفاده می‌شوند. توکن‌های تازه‌سازی را به صورت امن ذخیره کنید (مثلاً در یک پایگاه داده با رمزنگاری).
• محافظت در برابر CSRF را پیاده‌سازی کنید: هنگام استفاده از کوکی‌ها، مکانیزم‌های محافظت در برابر CSRF، مانند توکن‌های همگام‌ساز یا الگوی Double Submit Cookie را پیاده‌سازی کنید.

مثال: تنظیم کوکی‌های HTTP-Only (Node.js با Express)

app.get('/login', (req, res) => {
  // ... منطق احراز هویت ...
  const token = jwt.sign({ userId: user.id }, privateKey, { expiresIn: '15m' });
  const refreshToken = jwt.sign({ userId: user.id }, refreshPrivateKey, { expiresIn: '7d' });

  res.cookie('accessToken', token, {
    httpOnly: true,
    secure: true,  // در محیط پروداکشن true تنظیم شود
    sameSite: 'strict', // یا 'lax' بسته به نیاز شما
    maxAge: 15 * 60 * 1000 // ۱۵ دقیقه
  });

  res.cookie('refreshToken', refreshToken, {
    httpOnly: true,
    secure: true,  // در محیط پروداکشن true تنظیم شود
    sameSite: 'strict',
    maxAge: 7 * 24 * 60 * 60 * 1000 // ۷ روز
  });

  res.send({ message: 'ورود موفقیت‌آمیز بود' });
});

۴. محافظت در برابر حملات سردرگمی الگوریتم

سردرگمی الگوریتم یک آسیب‌پذیری حیاتی است. در اینجا نحوه جلوگیری از آن آمده است:

• الگوریتم‌های مجاز را به صراحت مشخص کنید: هنگام تأیید JWTها، الگوریتم‌های امضای مجاز را به صراحت مشخص کنید. برای تعیین خودکار الگوریتم به کتابخانه JWT تکیه نکنید.
• به هدر alg اعتماد نکنید: هرگز کورکورانه به هدر alg در JWT اعتماد نکنید. همیشه آن را با یک لیست از پیش تعریف شده از الگوریتم‌های مجاز اعتبارسنجی کنید.
• از تایپ استاتیک قوی استفاده کنید (در صورت امکان): در زبان‌هایی که از تایپ استاتیک پشتیبانی می‌کنند، بررسی نوع سختگیرانه را برای پارامترهای کلید و الگوریتم اعمال کنید.

مثال: جلوگیری از سردرگمی الگوریتم (Node.js با jsonwebtoken)

const jwt = require('jsonwebtoken');

try {
  const decoded = jwt.verify(token, publicKey, {
    algorithms: ['RS256'] // به صراحت فقط RS256 را مجاز کنید
  });
  console.log(decoded);
} catch (error) {
  console.error('اعتبارسنجی JWT ناموفق بود:', error);
}

۵. پیاده‌سازی مکانیزم‌های مناسب انقضای توکن و تازه‌سازی

طول عمر توکن یک ملاحظه امنیتی کلیدی است:

• از توکن‌های دسترسی با عمر کوتاه استفاده کنید: توکن‌های دسترسی را با عمر کوتاه نگه دارید (مثلاً ۵-۳۰ دقیقه). این کار تأثیر یک توکن به خطر افتاده را محدود می‌کند.
• توکن‌های تازه‌سازی را پیاده‌سازی کنید: از توکن‌های تازه‌سازی برای به دست آوردن توکن‌های دسترسی جدید بدون نیاز به احراز هویت مجدد کاربر استفاده کنید. توکن‌های تازه‌سازی می‌توانند عمر طولانی‌تری داشته باشند اما باید به صورت امن ذخیره شوند.
• چرخش توکن تازه‌سازی را پیاده‌سازی کنید: هر بار که یک توکن دسترسی جدید صادر می‌شود، توکن تازه‌سازی را بچرخانید. این کار توکن تازه‌سازی قدیمی را باطل می‌کند و آسیب احتمالی در صورت به خطر افتادن توکن تازه‌سازی را محدود می‌کند.
• مدیریت جلسه را در نظر بگیرید: برای برنامه‌های حساس، پیاده‌سازی مدیریت جلسه در سمت سرور را علاوه بر JWTها در نظر بگیرید. این به شما امکان می‌دهد دسترسی را با جزئیات بیشتری لغو کنید.

۶. محافظت در برابر سرقت توکن

جلوگیری از سرقت توکن بسیار مهم است:

• سیاست امنیت محتوای سختگیرانه (CSP) را پیاده‌سازی کنید: از CSP برای جلوگیری از حملات XSS استفاده کنید. CSP به شما امکان می‌دهد مشخص کنید کدام منابع مجاز به بارگذاری منابع (اسکریپت‌ها، استایل‌ها، تصاویر و غیره) در وب‌سایت شما هستند.
• ورودی کاربر را پاک‌سازی کنید: تمام ورودی‌های کاربر را برای جلوگیری از حملات XSS پاک‌سازی کنید. از یک کتابخانه معتبر پاک‌سازی HTML برای escape کردن کاراکترهای بالقوه مخرب استفاده کنید.
• از HTTPS استفاده کنید: همیشه از HTTPS برای رمزنگاری ارتباط بین کلاینت و سرور استفاده کنید. این کار از شنود ترافیک شبکه و سرقت JWTها توسط مهاجمان جلوگیری می‌کند.
• HSTS (HTTP Strict Transport Security) را پیاده‌سازی کنید: از HSTS برای دستور دادن به مرورگرها برای استفاده همیشگی از HTTPS هنگام ارتباط با وب‌سایت شما استفاده کنید.

۷. نظارت و ثبت وقایع (Logging)

نظارت و ثبت وقایع مؤثر برای شناسایی و پاسخ به حوادث امنیتی ضروری است:

• صدور و اعتبارسنجی JWT را ثبت کنید: تمام رویدادهای صدور و اعتبارسنجی JWT، از جمله شناسه کاربری، آدرس IP و مهر زمانی را ثبت کنید.
• فعالیت‌های مشکوک را نظارت کنید: الگوهای غیرعادی مانند تلاش‌های ناموفق متعدد برای ورود، استفاده از JWTها از مکان‌های مختلف به طور همزمان یا درخواست‌های سریع برای تازه‌سازی توکن را نظارت کنید.
• هشدارها را تنظیم کنید: هشدارهایی را برای اطلاع‌رسانی در مورد حوادث امنیتی بالقوه تنظیم کنید.
• گزارش‌ها را به طور منظم بررسی کنید: گزارش‌ها را به طور منظم برای شناسایی و بررسی فعالیت‌های مشکوک بررسی کنید.

۸. محدودسازی نرخ درخواست (Rate Limiting)

محدودسازی نرخ درخواست را برای جلوگیری از حملات brute-force و حملات انکار سرویس (DoS) پیاده‌سازی کنید:

• تلاش‌های ورود را محدود کنید: تعداد تلاش‌های ناموفق برای ورود از یک آدرس IP یا حساب کاربری را محدود کنید.
• درخواست‌های تازه‌سازی توکن را محدود کنید: تعداد درخواست‌های تازه‌سازی توکن از یک آدرس IP یا حساب کاربری را محدود کنید.
• درخواست‌های API را محدود کنید: تعداد درخواست‌های API از یک آدرس IP یا حساب کاربری را محدود کنید.

۹. به‌روز ماندن

• کتابخانه‌ها را به‌روز نگه دارید: کتابخانه‌ها و وابستگی‌های JWT خود را به طور منظم برای پچ کردن آسیب‌پذیری‌های امنیتی به‌روز کنید.
• بهترین شیوه‌های امنیتی را دنبال کنید: از آخرین بهترین شیوه‌های امنیتی و آسیب‌پذیری‌های مربوط به JWTها مطلع بمانید.
• ممیزی‌های امنیتی انجام دهید: به طور منظم ممیزی‌های امنیتی از برنامه خود برای شناسایی و رفع آسیب‌پذیری‌های بالقوه انجام دهید.

ملاحظات جهانی برای امنیت JWT

هنگام پیاده‌سازی JWT برای برنامه‌های جهانی، موارد زیر را در نظر بگیرید:

• مناطق زمانی: اطمینان حاصل کنید که سرورهای شما با یک منبع زمانی معتبر (مانند NTP) همگام‌سازی شده‌اند تا از مشکلات انحراف ساعت که می‌تواند بر اعتبارسنجی JWT، به ویژه ادعاهای exp و nbf، تأثیر بگذارد، جلوگیری شود. استفاده مداوم از مهرهای زمانی UTC را در نظر بگیرید.
• مقررات حریم خصوصی داده‌ها: به مقررات حریم خصوصی داده‌ها مانند GDPR، CCPA و غیره توجه داشته باشید. میزان داده‌های شخصی ذخیره شده در JWTها را به حداقل برسانید و از انطباق با مقررات مربوطه اطمینان حاصل کنید. در صورت لزوم، ادعاهای حساس را رمزنگاری کنید.
• بین‌المللی‌سازی (i18n): هنگام نمایش اطلاعات از ادعاهای JWT، اطمینان حاصل کنید که داده‌ها به درستی برای زبان و منطقه کاربر محلی‌سازی شده‌اند. این شامل قالب‌بندی مناسب تاریخ‌ها، اعداد و ارزها می‌شود.
• انطباق قانونی: از الزامات قانونی مربوط به ذخیره‌سازی و انتقال داده‌ها در کشورهای مختلف آگاه باشید. اطمینان حاصل کنید که پیاده‌سازی JWT شما با تمام قوانین و مقررات قابل اجرا مطابقت دارد.
• اشتراک‌گذاری منابع متقاطع (CORS): CORS را به درستی پیکربندی کنید تا به برنامه شما اجازه دهد به منابع از دامنه‌های مختلف دسترسی داشته باشد. این امر به ویژه هنگام استفاده از JWT برای احراز هویت در سرویس‌ها یا برنامه‌های مختلف اهمیت دارد.

نتیجه‌گیری

JWTها روشی راحت و کارآمد برای مدیریت احراز هویت و مجوزدهی ارائه می‌دهند، اما در عین حال ریسک‌های امنیتی بالقوه‌ای را نیز به همراه دارند. با پیروی از این بهترین شیوه‌ها، می‌توانید خطر آسیب‌پذیری‌ها را به میزان قابل توجهی کاهش دهید و امنیت برنامه‌های جهانی خود را تضمین کنید. به یاد داشته باشید که از آخرین تهدیدات امنیتی مطلع بمانید و پیاده‌سازی خود را بر اساس آن به‌روز کنید. اولویت‌بندی امنیت در کل چرخه حیات JWT به محافظت از کاربران و داده‌های شما در برابر دسترسی غیرمجاز کمک خواهد کرد.