jwt를 적용할때에 문제점


안녕하세요. jwt를 실제 적용할때에 몇가지 궁금한 것이 있어 여쭤보고 싶습니다.

JWT 자체를 누군가가 악의적으로 변조했을때는 서명부분때문에, 변조자가 의도한대로 작업을 할 수 없는 것으로 이해하고 있습니다. 이부분에서는 문제가 없어보였습니다.

저는 jwt가 유출되었을때 걱정이 되는데요.

HTTPS를 이용한다 한들, 만약 누군가가 타인의 jwt를 갈취하였을때 JWT의 가운데의 json claim부분을 그냥 BASE64로 디코드하면 바로 정보를 그대로 전부 볼 수 있습니다.

  1. 이러한 부분을 방지하기 위해서는 따로 또 jwt 자체를 암호화 해서 통신을 해야하나요? 보통 어떤 방법으로 하는지 알고 싶습니다.

또. 몇가지 글들을 찾아보면서 기존 웹의 취약점이였던 쿠키갈취에 대한 문제가 jwt를 사용할떄에는 없다고 많이 보았습니다. jwt가 세션을 이용하는게 아니기때문에 이해가 갑니다.

  1. 하지만, 만약 웹어플리케이션을 구현하고 인증을 jwt를 사용하는 상황에서, 자동로그인을 구현한다고하면 제 생각에는 자동로그인을 하려면 쿠키저장이 불가피 할것 같은데 , 그렇다면 기존 세션&쿠키 방식의 로그인방식보다 보안문제가 더 안좋아지는 것 아닌가요? 쿠키만 갈취한다면 정보자체를 볼 수 있으니까요! jwt와 자동로그인구현 자체가 아예 별도의 문제인지도..궁금합니다.
  • 2016년 11월 30일에 작성됨

조회수 18


로그인이 필요한 기능입니다.

Hashcode는 개발자들을 위한 무료 QnA사이트 입니다. 작성한 답변에 다른 개발자들이 댓글을 작성하거나 좋아요/싫어요를 할 수 있기 때문에 계정을 필요로 합니다.
► 로그인
► 계정만들기
Close