Jul's 개발일지 Jul's 개발일지

이 글은 Spring Security에서 JWT 인증 방식(with Redis)으로 구현하면서 있었던 일을 정리한 글입니다. 프로젝트에서 인증인가를 JWT로 AccessToken을 구현해야 했다. Http 통신 테스트로 인증인가가 잘 되는 것을 확인하고 안도의 한숨을 내쉬기 전에 팀원이 AccessToken이 탈취되면 어떻게 하냐고 질문해 왔다. 그렇다. 해커가 탈취한 AccessToken으로 요청을 보냈을 때 서버에서 정상적인 유저인지 해커인지 판별할 수 없었다. 그렇다고 Stateless 한 방식을 버리고 다시 Session, Cookie로 인증인가를 해야 하는가에 대한 고민에 빠졌다. AccessToken이 탈취된다는 것은 네트워크 레이어 어딘가에서 해커가 HTTP 문을 탈취한다는 것인데, Acce..