主頁 > 前端設計 > 生產事故-走近科學之消失的JWT

生產事故-走近科學之消失的JWT

2023-04-18 07:55:04 前端設計

入職多年,面對生產環境,盡管都是小心翼翼,慎之又慎,還是難免捅出簍子,輕則滿頭大汗,面紅耳赤,重則系統停擺,損失資金,每一個生產事故的背后,都是寶貴的經驗和教訓,都是專案成員的血淚史,為了更好地防范和遏制今后的各類事故,特開此專題,長期更新和記錄大大小小的各類事故,有些是親身經歷,有些是經人耳傳口授,但無一例外都是真實案例,

注意:為了避免不必要的麻煩和商密問題,文中提到的特定名稱都將是化名、代稱,

0x00 大綱

目錄
  • 0x00 大綱
  • 0x01 事故背景
  • 0x02 事故分析
  • 0x03 事故原因
  • 0x04 事故復盤
  • 0x05 事故影響

0x01 事故背景

2021年11月26日01時10分,P公司正在進行某業務系統的生產環境部署操作,但其實早在00時30分的時候,他們已經完成過一次部署了,但是奇怪的是無論如何都通不過驗證,無奈只好推倒重來,如此反復了有若干次,為何反復嘗試,卻不嘗試去尋找問題呢?問題就在于該系統同一份代碼在開發環境和 UAT 環境均一切正常,唯獨部署到生產環境上面就不行,這是一個前后端分離的業務系統,前端與后端介面基于 JWT 而不是傳統 Session 進行鑒權認證,故障的現象也很簡單,就是無法登錄——準確的說,是登錄后不能維持登錄狀態,一訪問其他需要鑒權的資源立馬又被重定向到登錄頁面,2020年10月25日02時30分,在運維人員多次嘗試無果,開發人員排查代碼也未發現問題后,P公司不得不直呼見鬼,那么真相究竟是什么呢?

0x02 事故分析

在 RFC 7519 規范中對于 JWT 是這樣描述的:

JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is used as the payload of a JSON Web Signature (JWS) structure or as the plaintext of a JSON Web Encryption (JWE) structure, enabling the claims to be digitally signed or integrity protected with a Message Authentication Code(MAC) and/or encrypted.

JWT (JSON Web Token) 是一種緊湊、URL 安全的表示方式,用于表達要在兩個參與方之間傳輸的安全宣告,JWT 中的宣告被編碼為 JSON 物件,作為 JSON Web Signature (JWS) 結構的有效載荷或 JSON Web Encryption (JWE) 結構的明文,使得宣告可以使用訊息認證碼 (MAC) 進行數字簽名或完整性保護和/或加密,

說人話呢意思就是 JWT 是一種安全令牌的標準化實作,用于參與雙方之間的可信互動認證,既然不好定位是環境還是代碼的問題,不妨先捋一捋 JWT 鑒權認證的程序,看看問題可能發生在哪一步:

JWT鑒權認證流程

  1. 從故障現象來看,步驟①出問題的可能性基本被排除,從前端請求和后端日志來看賬號和密碼的驗證程序已經正確完成;
  2. 那么步驟②有沒有可能出問題呢?當時也是懷疑過的,但是使用瀏覽器的 F12 開發者工具,看到 login 的網路請求回應中已經將后端生成的 JWT 回傳來了;
  3. 莫非是步驟③沒有將 JWT 正確攜帶,導致后續驗證不通過?但是查看登陸后,對其他介面的請求,里面確實已經攜帶了步驟②中提供的 JWT,而且數值也一致;
  4. 驗證JWT的代碼邏輯會不會有問題呢?可能性不大,因為在測驗環境和 UAT 環境已經反復驗證過,

那么問題還是出在步驟③攜帶 JWT 這一步,前面分析過前端發起請求時,已經攜帶了 JWT,那么有沒有可能是后端沒收到或者收到的值不正確呢?很可惜,后端收到 JWT 后沒有列印相關的日志……只有簡單的提示驗證失敗的資訊,但其實到這里,已經可以懷疑是環境的問題了,因為同樣的代碼只在生產環境出錯,

隨機抽取一個運維小伙子,讓他說說生產的系統結構,從他口中得知,生產上除了為了部署多個節點,使用了 Nginx 作為負載均衡和反向代理外,其他地方沒有區別,憑借往常的經驗呢,P公司的員工們首先呢就沒有懷疑過反代和負載會影響這個業務功能,但是我們的理性分析又提示我們問題很有可能出在這里,

不妨找個機器驗證一下,安裝和生產環境相同版本的 Nginx,然后配置一下反代和負載,對了,這回啊,在后端把列印 JWT 的Debug日志加上,然后果不出所料,前端雖然在請求頭中攜帶了 JWT,但是到了后端,卻顯示沒有這個資訊,這個頭,它丟到哪里去了呢?

0x03 事故原因

前端在步驟③請求頭中攜帶的 JWT 如下,HTTP_HEADER_NAME 為 “JWT_TOKEN”,HTTP_HEADER_VALUE 為 JWT 的值:

JWT_TOKEN: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjpbb2x0...

在后端日志中,除了 JWT_TOKEN 以外,其他的頭部資訊都正常傳遞,我們注意到,它的 HTTP_HEADER_NAME 包含了下劃線,這是它與眾不同的地方,難道是被 Nginx 過濾了?

在 Nginx 的官方檔案里,有這么一段話:

Missing (disappearing) HTTP Headers

If you do not explicitly set underscores_in_headers on;, NGINX will silently drop HTTP headers with underscores (which are perfectly valid according to the HTTP standard). This is done in order to prevent ambiguities when mapping headers to CGI variables as both dashes and underscores are mapped to underscores during that process.

消失的 HTTP Headers

如果你沒有顯式設定 underscores_in_headers on;,NGINX 會靜悄悄地干掉帶有下劃線的 HTTP 請求頭(雖然它們符合 HTTP 規范,毀滅你與你何干……),這樣做是為了防止在將請求頭映射到 CGI 變數時出現歧義,因為在此程序中,短劃線和下劃線都映射到下劃線,

在 ngx_http_parse.c 中,這個開關是這樣處理的:

/* header name */
case sw_name:
    c = lowcase[ch];

    if (c) {
        hash = ngx_hash(hash, c);
        r->lowcase_header[i++] = c;
        i &= (NGX_HTTP_LC_HEADER_LEN - 1);
        break;
    }

    if (ch == '_') {
        if (allow_underscores) {
            hash = ngx_hash(hash, ch);
            r->lowcase_header[i++] = ch;
            i &= (NGX_HTTP_LC_HEADER_LEN - 1);

        } else {
            r->invalid_header = 1;
        }

        break;
    }
    // ……(太長只截取關鍵部分)
    break;

如果沒有開啟underscores_in_headers開關,對應變數allow_underscores,則默認情況下,帶有下劃線的 HTTP_HEADER 會被標記為 INVALID_HEADER.而標記為 INVALID_HEADER 的資訊默認情況下,會被忽略掉,為什么說默認呢?因為這個行為同時還受到另一個開關ignore_invalid_headers控制,如果它被開啟,那么帶有下劃線的 HTTP_HEADER 就真的神秘消失了,

關于 underscores_in_headers 選項:

Syntax: underscores_in_headers on | off;

Default: underscores_in_headers off;

Context: http, server

Enables or disables the use of underscores in client request header fields. When the use of underscores is disabled, request header fields whose names contain underscores are marked as invalid and become subject to the ignore_invalid_headers directive.

關于 ignore_invalid_headers 選項:

Syntax: ignore_invalid_headers on | off;

Default: ignore_invalid_headers on;

Context: http, server

Controls whether header fields with invalid names should be ignored. Valid names are composed of English letters, digits, hyphens, and possibly underscores (as controlled by the underscores_in_headers directive).

可以看到underscores_in_headers選項默認情況下是關閉的,而ignore_invalid_headers選項默認情況下是開啟的,這也就導致了我們 JWT_TOKEN 的神秘失蹤,至此問題已經定位完畢,

0x04 事故復盤

這次可以說是純純的意外,但是這個意外本可以發現的更早:

  • 再窮也好,至少也要申請一個與生產環境相同/相仿的復刻環境,
  • 統一且規范的命名,或許可以避免很多不必要的麻煩,
  • 所謂Debug日志就是,沒事的時候,你看到它嫌它煩;出事的時候,你煩看不到它……
  • 排查問題時,還是大意了,沒有去看 Nginx 的日志,因為通過原始碼可以發現 INVALID_HEADER 默認情況下是會觸發 ERROR 日志的:
    if (rc == NGX_OK) {
    
        r->request_length += r->header_in->pos - r->header_name_start;
    
        if (r->invalid_header && cscf->ignore_invalid_headers) {
    
            /* there was error while a header line parsing */
    
            ngx_log_error(NGX_LOG_INFO, c->log, 0,
                          "client sent invalid header line: \"%*s\"",
                          r->header_end - r->header_name_start,
                          r->header_name_start);
            continue;
        }
        // ……(太長只截取關鍵部分)
    }
    

0x05 事故影響

使P公司新業務系統上線時間延長了3小時,相關人員連夜跟老板申請服務器經費,(知道了,下次還是不批),

轉載請註明出處,本文鏈接:https://www.uj5u.com/qianduan/550351.html

標籤:HTML5

上一篇:記錄--Canvas實作打飛字游戲

下一篇:我的第一個NPM包:panghu-planebattle-esm(胖虎飛機大戰)使用說明

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • vue移動端上拉加載

    可能做得過于簡單或者比較low,請各位大佬留情,一起探討技術 ......

    uj5u.com 2020-09-10 04:38:07 more
  • 優美網站首頁,頂部多層導航

    一個個人用的瀏覽器首頁,可以把一下常用的網站放在這里,平常打開會比較方便。 第一步,HTML代碼 <script src=https://www.cnblogs.com/szharf/p/"js/jquery-3.4.1.min.js"></script> <div id="navigate"> <ul> <li class="labels labels_1"> ......

    uj5u.com 2020-09-10 04:38:47 more
  • 頁面為要加<!DOCTYPE html>

    最近因為寫一個js函式,需要用到$(window).height(); 由于手寫demo的時候,過于自信,其實對前端方面的認識也不夠體系,用文本檔案直接敲出來的html代碼,第一行沒有加上<!DOCTYPE html> 導致了$(window).height();的結果直接是整個document的高 ......

    uj5u.com 2020-09-10 04:38:52 more
  • WordPress網站程式手動升級要做好資料備份

    WordPress博客網站程式在進行升級前,必須要做好網站資料的備份,這個問題良家佐言是遇見過的;在剛開始接觸WordPress博客程式的時候,因為升級問題和博客網站的修改的一些嘗試,良家佐言是吃盡了苦頭。因為購買的是西部數碼的空間和域名,每當佐言把自己的WordPress博客網站搞到一塌糊涂的時候 ......

    uj5u.com 2020-09-10 04:39:30 more
  • WordPress程式不能升級為5.4.2版本的原因

    WordPress是一款個人博客系統,受到英文博客愛好者和中文博客愛好者的追捧,并逐步演化成一款內容管理系統軟體;它是使用PHP語言和MySQL資料庫開發的,用戶可以在支持PHP和MySQL資料庫的服務器上使用自己的博客。每一次WordPress程式的更新,就會牽動無數WordPress愛好者的心, ......

    uj5u.com 2020-09-10 04:39:49 more
  • 使用CSS3的偽元素進行首字母下沉和首行改變樣式

    網頁中常見的一種效果,首字改變樣式或者首行改變樣式,效果如下圖。 代碼: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, ......

    uj5u.com 2020-09-10 04:40:09 more
  • 關于a標簽的講解

    什么是a標簽? <a> 標簽定義超鏈接,用于從一個頁面鏈接到另一個頁面。 <a> 元素最重要的屬性是 href 屬性,它指定鏈接的目標。 a標簽的語法格式:<a href=https://www.cnblogs.com/summerxbc/p/"指定要跳轉的目標界面的鏈接">需要展示給用戶看見的內容</a> a標簽 在所有瀏覽器中,鏈接的默認外觀如下: 未被訪問的鏈接帶 ......

    uj5u.com 2020-09-10 04:40:11 more
  • 前端輪播圖

    在需要輪播的頁面是引入swiper.min.js和swiper.min.css swiper.min.js地址: 鏈接:https://pan.baidu.com/s/15Uh516YHa4CV3X-RyjEIWw 提取碼:4aks swiper.min.css地址 鏈接:https://pan.b ......

    uj5u.com 2020-09-10 04:40:13 more
  • 如何設定html中的背景圖片(全屏顯示,且不拉伸)

    1 <style>2 body{background-image:url(https://uploadbeta.com/api/pictures/random/?key=BingEverydayWallpaperPicture); 3 background-size:cover;background ......

    uj5u.com 2020-09-10 04:40:16 more
  • Java學習——HTML詳解(上)

    HTML詳解 初識HTML Hyper Text Markup Language(超文本標記語言) 1 <!--DOCTYPE:告訴瀏覽器我們要使用什么規范--> 2 <!DOCTYPE html> 3 <html lang="en"> 4 <head> 5 <!--meta 描述性的標簽,描述一些 ......

    uj5u.com 2020-09-10 04:40:33 more
最新发布
  • 我的第一個NPM包:panghu-planebattle-esm(胖虎飛機大戰)使用說明

    好家伙,我的包終于開發完啦 歡迎使用胖虎的飛機大戰包!! 為你的主頁添加色彩 這是一個有趣的網頁小游戲包,使用canvas和js開發 使用ES6模塊化開發 效果圖如下: (覺得圖片太sb的可以自己改) 代碼已開源!! Git: https://gitee.com/tang-and-han-dynas ......

    uj5u.com 2023-04-20 07:59:23 more
  • 生產事故-走近科學之消失的JWT

    入職多年,面對生產環境,盡管都是小心翼翼,慎之又慎,還是難免捅出簍子。輕則滿頭大汗,面紅耳赤。重則系統停擺,損失資金。每一個生產事故的背后,都是寶貴的經驗和教訓,都是專案成員的血淚史。為了更好地防范和遏制今后的各類事故,特開此專題,長期更新和記錄大大小小的各類事故。有些是親身經歷,有些是經人耳傳口授 ......

    uj5u.com 2023-04-18 07:55:04 more
  • 記錄--Canvas實作打飛字游戲

    這里給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 打開游戲界面,看到一個畫面簡潔、卻又富有挑戰性的游戲。螢屏上,有一個白色的矩形框,里面不斷下落著各種單詞,而我需要迅速地輸入這些單詞。如果我輸入的單詞與螢屏上的單詞匹配,那么我就可以獲得得分;如果我輸入的單詞錯誤或者時間過長,那么我就會輸 ......

    uj5u.com 2023-04-04 08:35:30 more
  • 了解 HTTP 看這一篇就夠

    在學習網路之前,了解它的歷史能夠幫助我們明白為何它會發展為如今這個樣子,引發探究網路的興趣。下面的這張圖片就展示了“互聯網”誕生至今的發展歷程。 ......

    uj5u.com 2023-03-16 11:00:15 more
  • 藍牙-低功耗中心設備

    //11.開啟藍牙配接器 openBluetoothAdapter //21.開始搜索藍牙設備 startBluetoothDevicesDiscovery //31.開啟監聽搜索藍牙設備 onBluetoothDeviceFound //30.停止監聽搜索藍牙設備 offBluetoothDevi ......

    uj5u.com 2023-03-15 09:06:45 more
  • canvas畫板(滑鼠和觸摸)

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>canves</title> <style> #canvas { cursor:url(../images/pen.png),crosshair; } #canvasdiv{ bo ......

    uj5u.com 2023-02-15 08:56:31 more
  • 手機端H5 實作自定義拍照界面

    手機端 H5 實作自定義拍照界面也可以使用 MediaDevices API 和 <video> 標簽來實作,和在桌面端做法基本一致。 首先,使用 MediaDevices.getUserMedia() 方法獲取攝像頭媒體流,并將其傳遞給 <video> 標簽進行渲染。 接著,使用 HTML 的 < ......

    uj5u.com 2023-01-12 07:58:22 more
  • 記錄--短視頻滑動播放在 H5 下的實作

    這里給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 短視頻已經無數不在了,但是主體還是使用 app 來承載的。本文講述 H5 如何實作 app 的視頻滑動體驗。 無聲勝有聲,一圖頂百辯,且看下圖: 網址鏈接(需在微信或者手Q中瀏覽) 從上圖可以看到,我們主要實作的功能也是本文要講解的有: ......

    uj5u.com 2023-01-04 07:29:05 more
  • 一文讀懂 HTTP/1 HTTP/2 HTTP/3

    從 1989 年萬維網(www)誕生,HTTP(HyperText Transfer Protocol)經歷了眾多版本迭代,WebSocket 也在期間萌芽。1991 年 HTTP0.9 被發明。1996 年出現了 HTTP1.0。2015 年 HTTP2 正式發布。2020 年 HTTP3 或能正... ......

    uj5u.com 2022-12-24 06:56:02 more
  • 【HTML基礎篇002】HTML之form表單超詳解

    ??一、form表單是什么

    ??二、form表單的屬性

    ??三、input中的各種Type屬性值

    ??四、標簽 ......

    uj5u.com 2022-12-18 07:17:06 more