다음과 같이 관리자의 JWT를 탈취한 상태입니다.
이름을 token
관리자의 JWT 토큰을 값에 넣어줍니다.
그런 다음 관리자만 접속할 수 있는 /allPosts 경로를 요청하면
성공적으로 페이지를 볼 수 있습니다.
관리자의 아이디와 비밀번호를 모르더라도 관리자를 인증해주는 토큰 값을 탈취하면 관리자 행세를 할 수 있는 것을 확인했습니다.
따라서, 인증에 사용되는 중요한 값들이 노출되지 않게 하는 방법들을 고민해야 될 것 같습니다.
다음과 같이 관리자의 JWT를 탈취한 상태입니다.
이름을 token
관리자의 JWT 토큰을 값에 넣어줍니다.
그런 다음 관리자만 접속할 수 있는 /allPosts 경로를 요청하면
성공적으로 페이지를 볼 수 있습니다.
관리자의 아이디와 비밀번호를 모르더라도 관리자를 인증해주는 토큰 값을 탈취하면 관리자 행세를 할 수 있는 것을 확인했습니다.
따라서, 인증에 사용되는 중요한 값들이 노출되지 않게 하는 방법들을 고민해야 될 것 같습니다.
