look-forest

소셜 로그인 시 JWT(Access Token, Refresh Token)을 발행한다.Refresh Token을 저장할 용도와,로그아웃, 탈퇴 시 Access Token을 Blacklisting할 용도로 Redis를 도입할 예정이다.EC2 서버에 Redis 설치하여 적용하기 (개발계)개발계 서버에는 EC2에 직접 Redis를 설치하여 적용할 예정이다.우선 로컬 서버에는 Redis를 직접 설정하고, 개발계는 docker를 이용해 redis 설정을 적용한다. 로컬에 Redis 적용하기1. 로컬에 redis 설치2. Springboot에 Redis 적용하기1) 의존성 추가implementation 'org.springframework.boot:spring-boot-starter-data-redis' 2) R..

단일 JWT 발급을 넘어, 더 높은 수준의 보안을 위한 JWT 구현 방법을 알아보자.보안을 위한 JWT의 진화단일 토큰 사용의 문제점JWT 탈취 위험1. 로그인 성공 시 JWT 발급 : 서버 → 클라이언트2. 권한이 필요한 모든 요청에 JWT 전송 : 클라이언트 → 서버 JWT는 수 많은 요청을 위해 클라이언트의 JS 코드로 HTTP 통신을 통해 서버로 전달된다. 이 과정에서 해커는 클라이언트 측에서 XSS를 이용하거나 HTTP 통신을 가로채 토큰을 탈취할 수 있다.XSS(Cross-Site Scripting) : JS와 같은 악성 코드를 삽입하여 브라우저에서 실행되도록 공격.쿠키, 세션 등 탈취 가능. 서버에서 쿠키 설정 시 httpOnly 속성을 추가하면 쿠키를 JS로 접근할 수 없게 설정.CSRF(..