멍개의 연구소

JWT는 보안 측면에서 2가지 문제점을 제시할 수 있습니다. 1. 악성 사용자가 생성하는 JWT 2. JWT 탈취 ​ JWT 탈취는 인증/인가 부분에서 다루는 내용중 하나가 엑세스 토큰이 만료되어 해당 엑세스 토큰을 가지고 리프레시 토큰을 받아와서 리프레시 토큰으로 다시 엑세스 토큰을 발급받을 수 있다면, 악성 사용자가 다른 사용자의 만료된 엑세스 토큰을 탈취하여 다른 사용자의 정보를 가진 엑세스 토큰을 사용할 수 있습니다 ● 악성사용자가 생성하는 JWT 첫 번째 문제는 악성사용자가 JWT를 생성하는 경우입니다. 이 경우는 일어나기 매우 어렵습니다. 이해하기 위해선 JWT의 구조를 이해해야 합니다. · JWT 구조 JWT는 3개의 부분으로 이루어져 있습니다. header.payload.signature ..