本記事は下記を参考にしています。
モチベーション
- JWT、聞いたことあるけど何も分からないので実体を知りたい
- JWTに対してハードルが高く、なかなか調べられなかったのでハンズオン形式で入門したかった
リポジトリ
(Dockerで動かすためにforkしました: tokizuoh/jwt-attack-hands-on)
メモ
- Header, Payload, Signature はそれぞれ base64エンコード された値
- 著名検証時には Header, Payload をピリオドで連結したものを指定された署名アルゴリズムで処理
感想
- JWTについてどういう概念かハンズオンを通じて知ることができた
- Secretとして使う文字列は横着して短いものにすると痛い目を見そう
- まだ理解できてない部分が多いので整理して調べていきたい
- JohnTheRipper すごい
- (本筋ではないが)gin 便利そうだと感じた。いつも標準のHTTPライブラリしか使っていないので試したくなった