01 01

JWT(JSON Web Token)의 구조와 각 구성 요소의 역할에 대해 정리한 문서입니다. JWT는 JSON-Web Token의 준말로, 당사자 간에 정보를 안정하게 전송하기 위한 JSON 기반의 open standard(RFC 7519)*입니다. 즉, 서버와 클라이언트 사이에서 사용자 인증 정보를 주고받기 위한 토큰으로, 토큰 자체에 필요한 정보를 모두 포함하고 있어서 별도의 인증 저장소에 없이도 검증할 수 있습니다.*Request for Comments : 인터넷 표준을 정의하는 문서 시리즈. IETF(Internet Engineering Task Force)라는 국제 표준화 기구에서 관리한다. 2015.05 에 발표된 JWT의 공식 표준 규격. 사용자가 로그인하면 서버는 JWT 를 생성하여 클라..

Spring 기반 웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격인 CSRF, XSS, 세션 고정, JWT 탈취와 Spring Security 또는 일반적인 대응 전략을 간단히 정리한 글입니다. 1. CSRF(Cross-Site Request Forgery)공격 방식 : 사용자가 웹 사이트(A)에 로그인한 상태에서 악의적인 웹사이트(B)에 접속하면, (B)가 사용자 모르게 (A) 웹사이트에 대한 요청을 하는 공격입니다. 브라우저의 경우 자동으로 인증 쿠키를 포함시켜 서버는 이 요청이 합법적인 것으로 간주합니다. e.g.은행 사이트에 로그인하면, 이 은행 사이트에 대한 쿠키를 가집니다.이후 서핑 중 특정 사이트가 궁금해서, 광고를 잘못 클릭해서 등의 이유로 공격자가 만든 사이트에 접속합니다. ..