이번에 애드몹을 연결하면서 서버에서 SSV라고 이용자가 실제로 광고를 봤는지 검증을 하는 과정이 필요했다.
그래서, 구글에서 제공하는 규격을 따르는 URL 콜백을 만들게 됐는데
기존에 있던 API를 Get으로 변경하게 됐다.
문제는 헤더를 쓸 수 없다는 점이었다.
즉, JWT 토큰을 헤더로 받을 수가 없는 상황이다.
그래서, URL에 파라미터로 넣어도될지? 이런 의문이 생겼다.
보안에 좋지 않다.
URL에 JWT토큰을 넣는 것은 보안적으로 좋지 않다고 한다.
URL에 JWT토큰이 들어가면, 외부에 노출이 되기 쉬운 구조가 되버리는데
브라우저 히스토리나 로그에 JWT 토큰이 남아버리기 때문이다.
JWT 토큰이 탈취되면 이를 활용해 해당 유저인 척 할 수 서버 인증을 뚫어버릴 수 있으니 굉장히 위험하다. 또한, jwt 토큰은 매우 길어서 url에 들어가버리면 브라우저에서 정한 url 길이 리미트보다 커질 수 있다고 한다.
만약 URL에 넣어야 한다면, URL에서만 작동하는 특별한 토큰을 만들어야 한다.
RFC 6750에 따르면, 일반적으로 이러한 jwt 토큰은 헤더에 넣는 게 기본 표준이라고 할 수 있다.
참고자료
답을 찾기 위해서 노력하는 사람