Trouble Shooting/Security (1) 썸네일형 리스트형 JWT - 공격자 방어 with Access Token, Refresh Token 백엔드를 개발하다 보면 사용자 인증/인가로 JWT를 많이 사용할 것이다. JWT를 사용하면 기본적으로 서버가 클라이언트의 상태를 보존하지 않는다 (stateless 하다). 즉, 매번 서버의 리소스를 접근하기 위해 access를 던질 때마다 해당 유저가 유저 본인인지 공격자인지 구별하지 못한다. 따라서, 이런 문제를 해결하는 방안으로 리플래시 토큰을 추가적으로 사용한다. 이 토큰의 용도는 사용자 인증이 아닌 새로운 엑세스 토큰을 추가적으로 생성하는 용도로만 사용된다. 엑세스 토큰 : 서버의 자원에 접근하기 위한 토큰 리플래시 토큰 : 엑세스 토큰을 발급하기 위한 토큰 엑세스 토큰 탈취, 리플래시 토큰 없음 이를 활용해, 아래와 같은 원리로 공격자 방어를 수행한다. 1. 엑세스 토큰의 유효기간은 가능한 짧.. 이전 1 다음
