JWT의 폐해
jwt 토큰을 복사해 jwt.io에 디코드 가능
자신의 정보라 안심할 수도 있지만, 서버 측 salt를 알고 있는 상태에서(bycrpt같이 salt를 노출시키는 알고리즘으로 salt 노출 가능) admin의 jwt 토큰을 jwt.io에서 인코드, 결과값(admin의 jwt 토큰)을 로컬 스토리지에 붙여두기 해두면 로그인을 하지 않아도 admin의 기능을 사용 가능함
프로젝트 중 오류
프로젝트를 진행하며 내가 맡은 부분인 자산관리 페이지를 구현한 후, 다른 팀원들의 코드와 통합하는 과정에서 거래 내역을 새로고침하거나 옵션별로 정렬할 때마다 DB에 연결하지 않도록 설정한 캐시 데이터가 undefined로 표시되는 문제가 발생했다
처음에는 모듈 문제로 생각했으나, 실제 원인은 다른 팀원들의 코드에는 CSRF 방지를 위한 토큰 생성 코드가 포함되어 있었으나 내가 맡은 코드에서 CSRF(Cross-Site Request Forgery)를 방지하기 위해 토큰을 생성하는 코드를 포함하지 않은 것이었다
팀원분께서 내 코드에 POST 요청 시마다 토큰을 생성하는 코드를 추가하여 문제를 해결했다
보안과 성능을 고려하여 코드를 작성했지만, 가장 중요한 CSRF 방지를 위한 토큰 생성 부분을 간과했었다 앞으로는 제일 중요한 요소를 먼저 고려해놓아야겠다는 것을 배웠다
