🔥 TIL - Day 23

📌 JWT.. 그냥 대충 구현해서 쓰면 안될 것 같은 ..

현재 프로젝트에서는 인증은 OAuth2로 하고 엑세스 토큰은 JWT 를 이용해서 발급하고 있다. 엑세스 토큰의 경우 만료기한을 1일로 했고 클라이언트의 쿠키에 담아 전달하는 방식이다.

자... 쿠키에 담긴 엑세스 토큰이 탈취당했다면 ? 우리는 해당 토큰을 만료기간이 도달하기 전에 임의로 만료시킬 수 없다. 보안상 너무 큰 취약점이다. 조금이라도 해결 방안을 찾아보자

첫번째
이 문제에 대한 가장 단순한 접근은 JWT 토큰의 만료기간을 짧게 주는 것이다. 더 극단적으로 매 요청마다 토큰을 만료시키는 방법도 있을 것이다.
하지만 사용자는 짧아진 주기에 맞춰 더 자주 인증을 수행해야 한다. 매우 번거로운 일이다.

두번째
엑세스 토큰을 재발급 받을 수 있는 Refresh Token 을 추가로 발급해보자.
최초 사용자가 인증에 성공했을 때 Access Token 과 Refresh Token 두 개를 발급하는 것이다.
Refresh Token 의 만료기한은 길게 설정해주면 Access Token이 만료되더라도 사용자는 Refresh Token과 서버의 로직에 의해 새로운 Access Token을 발급받게 되는 것이다.

근데 Refresh Token이 탈취당한다면 ... ?

세번째
Refresh Token 은 HTTP Only 쿠키로 설정한다.
HTTP only로 설정하면 클라이언트 측에서 javascript를 통해 직접 접근할 수 없다. 악성 스크립트를 통해 해당 쿠키를 열어볼 수 없다는 의미이다.

꽤 오랫동안 jwt 관련 자료를 찾아봤는데 너무 많은 방식이 있는 것 같다. 클라이언트와 서버 모두 나름의 처리를 해줘야 하기 때문인 것 같다. 사실 아직도 100% 이해가 되지 않는다. 코드로 옮기지도 못했다.. 그래도 큰 개념은 이해했으니 코드로 옮기면서 디테일한 부분을 더 알아봐야겠다.