아무리 토큰 탈취를 감안한 설계라곤 하지만...
구글 로그인을 보면 크롬 시크릿모드, 파폭 사생활 보호 모드 등등같이 웹 스토리지나 쿠키가 자동 삭제되는게 아닌 이상 세션이 계속 유지되던데...
세션 만료는 넣어야 하는게 맞다고 생각하긴 하지만 토큰은 대부분 쿠키나 웹 스토리지에 저장하니까 사용자가 삭제하지 않는 한 토큰 데이터는 계속 남아 있을테고...
저런 토큰 유효성을 어떻게 검사하는지 모르겠네
Oauth 2.0 기술문서 보면 나와있으려나
6개의 댓글
무분별한 사용은 차단될 수 있습니다.
샌드백
샌드백
Tbps
내가 이해가 안되는건 토큰 방식의 세션 유지는 어떻게 해서라도 클라이언트에 토큰 값을 저장해야 하는 구조일텐데
쿠키 그 자체를 탈취해버리면 세션 하이제킹은 너무 손쉽게 일어나잖아?
세션 하이제킹 막으려고 짧은 토큰 유효기간, 리프래시 토큰 등등의 방안이 있는거로 아는데
그럼 서비스 순서 짤 때 항상 토큰 유효성 검사 요청을 보내도록 하는게 맞는지 이해가 안됨
검증 요청하는거 자체만으로 서버 세션쿠키 구조보다 더 많은 리소스를 요구할 텐데 대규모 서비스를 하는 경우라면 리소스 낭비가 너무 심하지 않나 싶은데
샌드백
Tbps
ㅇㅎ... 그렇구만 부하 그 자체를 보는게 아니라 효율성을 보고 그렇게 구조를 짠다는거구만
부하에 너무 무게를 두지 않아도 되는구나
잠적자
Jwt는 탈취방지에 대한 설계가 아니라 위조방지를 위한 보안설정이다. 그리고 의외로 쿠키 방식이 csrf방어설정해놓는다면 탈취방지에는 가장 효과적이다 .