look-forest

OAuth2.0 클라이언트와 스프링 시큐리티 6 프레임워크를 활용하여, 신뢰할 수 있는 외부 사이트(구글, 네이버)로 부터 인증을 받고, 전달 받은 유저 데이터를 활용하여 JWT를 발급하고 인가를 진행하는 방법. ※ 프로젝트 컨셉 - OAuth2 클라이언트 JWT방식을 구현하기 위한 가장 기본적인 뼈대 코드- 프론트/백엔드 서버가 나눠진 상황 가정 - OAuth2.0 코드 방식 인증을 활용 - 인증 후 발급된 정보로 JWT를 발급, JWT는 단일 토큰으로 진행JWT 방식에서 OAuth2 클라이언트 구성시 고민점JWT 방식에서는 로그인(인증)이 성공하면 JWT 발급 문제와 웹/하이브리드/네이티브앱별 특징에 의해 OAuth2 Code Grant 방식 동작의 책임을 프론트엔드 측에 둘 것인지 백엔드 측에 둘 ..

단일 JWT 발급을 넘어, 더 높은 수준의 보안을 위한 JWT 구현 방법을 알아보자.보안을 위한 JWT의 진화단일 토큰 사용의 문제점JWT 탈취 위험1. 로그인 성공 시 JWT 발급 : 서버 → 클라이언트2. 권한이 필요한 모든 요청에 JWT 전송 : 클라이언트 → 서버 JWT는 수 많은 요청을 위해 클라이언트의 JS 코드로 HTTP 통신을 통해 서버로 전달된다. 이 과정에서 해커는 클라이언트 측에서 XSS를 이용하거나 HTTP 통신을 가로채 토큰을 탈취할 수 있다.XSS(Cross-Site Scripting) : JS와 같은 악성 코드를 삽입하여 브라우저에서 실행되도록 공격.쿠키, 세션 등 탈취 가능. 서버에서 쿠키 설정 시 httpOnly 속성을 추가하면 쿠키를 JS로 접근할 수 없게 설정.CSRF(..