Shikata Ga Nai

Private? There is no such things.

JWTの内容をかるく解析してみた

Hello there, ('ω')ノ

 

先日、導入したやられサイトを使用して。

 

f:id:ThisIsOne:20210101175008p:plain

 

Juice Shopにアクセスして、ログインして。

 test@mail.com/pass123

 

f:id:ThisIsOne:20210101130253p:plain

 

ブラウザで、Cookieを確認してみると。

tokenというItemがあって。

内容は下記のとおりで。

 

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.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.htZt5oewPGnc03uYzkt_O3FyfPjEj6ZGQuhwUu-01HAx21g9f68zj3fZ04AK_6HdZ4Dyz9Hb5mEBcCzd38vntFrj9rcyPT_0dU_ugTenhbk7UkRuvEWO3FXzKH0NgMik89WIyBdI4JUJ1icNpJvHRHBG82fi9CvUkP0UKt8RfHk

 

f:id:ThisIsOne:20210101130743p:plain

 

token情報を下記のサイトで解析してみると。

署名に使っているアルゴリズム(alg)の情報が確認できて。

HS256(HMAC using SHA-256 hash)を使っていることが分かって。

 https://www.jsonwebtoken.io/

 

パスワード情報をみると32桁なのでMD5で。

MD5ハッシュの長さは128ビットで、一般に32桁の16進数で表されて。

16進数は4ビットなので32桁なので。

 

f:id:ThisIsOne:20210101130704p:plain

 

下記のサイトで、パスワードを解析すると。

 https://www.cmd5.org/

 

f:id:ThisIsOne:20210101132834p:plain

 

Best regards, (^^ゞ