JWT
- 장점 : Stateless로, 확장성을 가짐
- 단점 : 페이로드가 인코딩되어 있기에 중요 정보를 담을 수 없음. 토큰 탈취 시 대처가 어려움
▶ 결론 : 확장성이 중요하다면. 기능 및 보안은 어느정도 타협하고 JWT를 사용할 것.
*기능: 토큰의 즉시만료와 같은 기능을 의미한다. JWT는 Access Token을 즉시 만료시킬 수 없음. 무조건 만료시간이 지나야함.
의문
보통 Refresh Token은 서버에 저장한다고 한다. 그럼 JWT를 사용하는 이유가 뭐지?
Stateless하기에 JWT를 사용하는데, 굳이 다시 중앙화를 시키는 이유를 모르겠다. 세션을 사용하면 되는게 아닌지?
해결
어쩔 수 없는 부분인 듯 하다. 리프레쉬 토큰을 JWT로 구현해서 클라이언트 측에 뿌리면 너무 취약해지니.
확장성은 Access Token 얘기고.
참고
https://hudi.blog/refresh-token/
Access Token의 문제점과 Refresh Token
Access Token의 문제점 사용자의 잦은 로그아웃 경험 현재 달록에서는 Refresh Token을 사용중이지 않다. Access Token 만을 사용하여 사용자를 인증한다. 현재 달록의 Access Token 유효 기한은 24시간 즉, 하
hudi.blog
https://gahui-developer123.tistory.com/109
[번역]JWT를 세션 메커니즘에 이용하지 말자 Part 1 -(1)
얼마전, 인턴을 했던 회사의 사수분과 이야기 하던중, Session과 JWT를 혼용해서 쓰는것에 대해 대화를 나눴다. 두개를 혼용해서 쓰면 안된다는 것을 알고는 있었지만, 왜 그러면 안되는지에 대해
gahui-developer123.tistory.com
'일상X사랑X돈 > 뜨거운감자' 카테고리의 다른 글
| VirtualBox 클립보드 공유/드래그 앤 드롭 이슈 (0) | 2024.09.19 |
|---|---|
| virtualbox 인터넷 안됨 해결 (0) | 2023.12.20 |
| 아웃룩 메일 하이퍼링크 기본앱 설정 (0) | 2023.08.07 |
| PC 멜론 플레이어 강제종료 현상 해결 (0) | 2022.10.09 |
| 2022 정보처리기사 실기 2회 합격 후기 (0) | 2022.09.02 |