JWT는 이렇게 아무나 까서 볼 수 있어서 비번같은거 넣으면 위험함.
그리고 대충쓰면 보안이슈가 4개정도 생긴다.
-
alg에 none을 넣은 입장권을 넣어본다.
간혹 어떤 서버들은 입장이 됨 -
JWT는 변환이 쉬움
민감한 정보 넣지 않기 -
시크릿 키
대충 적으면 때려맞추기 쉬움
솔루션1: 키를 매우 길게, 공유 금지,
솔루션2: 생성용 키, 검증용 키 2개 사용(구현 귀찮기 떄문에 JWT라이브러리에 있는지 확인하기)
- JWT 탈취
기간이 지난게 아닌 이상 이용 정지를 못 시킴
솔루션1: 훔치기 어렵게
솔루션2: JWT 블랙리스트 쓰기
솔루션3: 유효기간을 짧게(refresh token을 써서)
솔루션4: refresh token rotation 사용 (refresh token 탈취 가능성도 있어서 아예 1회용으로 만들기)
