OWASP ASVS项目：关于JWT密钥材料来源安全性的技术探讨

在现代Web应用安全中，JSON Web Token（JWT）已成为身份验证和授权的重要机制。然而，其安全性高度依赖于密钥材料的可信来源。本文基于OWASP应用安全验证标准（ASVS）的讨论，深入分析JWT密钥管理中的安全风险与最佳实践。

密钥来源信任问题

JWT验证的核心在于确保用于验证签名的密钥材料来自可信源。常见风险场景包括：

1. 非预期JKU/X5U头注入：攻击者可能篡改JWT头部的jku（JWK Set URL）或x5u（X.509 URL）字段，指向攻击者控制的密钥服务器
2. 非授权密钥注入：通过jwk（JSON Web Key）头直接嵌入非授权公钥
3. 服务端请求问题：未经验证的URL请求可能导致服务器端请求异常

ASVS的安全要求

OWASP ASVS V3.5.7版本明确要求：

• 必须仅使用预先配置的可信源获取密钥材料
• 对于JWT/JWS结构，必须对jku、x5u和jwk等头部字段实施严格的允许列表验证
• 验证过程应阻断攻击者指定不可信密钥或密钥源的可能性

技术实现建议

1. 静态配置信任源：

   • 预先配置已知合法的JWKS端点
   • 禁用动态密钥发现机制（如jku），或实施严格的域名白名单校验

2. 密钥头验证：

   # 示例：JKU白名单验证
   ALLOWED_JWKS_URIS = ['https://auth.example.com/.well-known/jwks.json']
   
   def validate_jku(jku_header):
       if jku_header not in ALLOWED_JWKS_URIS:
           raise InvalidTokenError("Untrusted JWKS source")
   

3. 纵深防御措施：

   • 对密钥获取请求实施速率限制
   • 禁用敏感HTTP头（如Cookie）的自动传递
   • 实施证书固定（Certificate Pinning）

典型攻击场景

某应用未验证jku头，攻击者构造包含非预期jku的JWT：

1. 生成RSA密钥对，将公钥托管在非授权服务器
2. 构造JWT头部：{"alg":"RS256","jku":"https://untrusted.com/jwks"}
3. 使用私钥签名伪造的声明（如"admin":true）
4. 服务端未验证jku来源，直接使用非授权提供的公钥验证签名

扩展防护建议

• 对于OIDC的sub_jwk等嵌入式密钥声明，同样需要来源验证
• 考虑实施密钥指纹比对（Thumbprint Verification）
• 关键操作应结合其他验证因素（如时间戳、nonce值）

通过实施这些控制措施，开发者可有效防范JWT相关密钥接管攻击，符合OWASP ASVS对令牌安全的高级要求。在实际部署时，建议结合威胁建模确定适合的严格级别。