HOME
홈페이지제작
쇼핑몰제작
어플리케이션
기능별홈페이지
포트폴리오
ERP 솔루션
유지보수
온라인마케팅
커뮤니티

JWT 사용시 보안에 유의할 사항 > 자료실

본문 바로가기

홈페이지

어플리케이션

프로그램

오늘 방문자

제작상담

■ 어떠한 것이든 설명이 가능하시면 제작이 가능합니다.
■ 각종 다양한 어플리케이션 제작경험이 많습니다.
■ 다양한 유형별 홈페이지,쇼핑몰 제작경험이 많습니다.
■ 업종별 주문형 프로그램 제작 가능합니다.
VR,AR 이용한 결과물 및 모듈제작 가능합니다.
■ 상시채용 : php,java,ios,android,ar,vr,c#,Node

 

자료실

웹 | JWT 사용시 보안에 유의할 사항

페이지 정보

작성자 양지훈 작성일21-05-22 11:56 조회15,156회 댓글0건

본문

JWT 사용자 인증신뢰성 있는 정보교환 용도로 쓰인다주로 사용자 인증으로 사용된다.

 

---------------------------------------------------------------------------

사용자 인증용도로 사용될 경우 

 

암호화

HMAC 알고리즘으로 암호화하며 비밀번호(secret key) 는 서버만 가지고 있어야 한다.

 

​특징 

누구나 토큰 내의 정보를   있으며 정보의 변조는   없다는 것이다누구나 정보를   있다는 말은 비밀정보 또는 민감한 정보를 포함해서는 안된다는 말이다정보의 변조를   없다는 말은 토큰이 포함하고 있는 정보는 거짓이 아님을 확신할  있다는 것이다.

 

주의할점

1.토큰 자체가 신원이므로 토큰유효기간을 줘야 한다고 문서에서 말하고 있다하지만 유효기간을 주는 것은 궁극적인 해결책이아니다왜냐하면 토큰을 가로챈 자는 유효기간 내에 사용하면 유효하게 사용될수 있기 때문이다. (어쨌든 유효기간을 주는 것은도움이 된다.) 

 

2.브라우저(앱이 아닌) 로컬 스토리지는 누구나 쉽게 접근할  있으며 XSS  활용해 외부 네트워크에서도 접근이 가능하다따라서 브라우저의 로컬스토리지 또는 세션스토리에 토큰을 저장하면 안된다브라우저에서는 httponly 쿠키라는 곳에 저장해야한다

 

3.네트워크상의 중간에서 토큰을 가로채는 경우도 있다 문제는 https 사용과 관련이 있다. 

 

---------------------------------------------------------------------------

정보교환 용도로 사용될 경우 

 

암호화

RSA 또는 ECDSA 알고리즘을 사용합니다. 개인키는 서버, 공개키는 클라이언트에게 분배합니다. 

 

특징

데이터의 진실성 뿐 아니라 비밀성을 보장합니다. 그래서 토큰정보를 누구나 해독할 수 없습니다.

 

 

 

 

 


| 디몬스터 | TEL : 070-7621-0572 / 070-5022-0572 | HP : 010-7574-0572 | E-mail : jackee@naver.com
| 서울 구로구 구로동 222 7번지 코오롱디지털타워빌란트 15층 1509,10호 | 부천시 길주로 272 2001호(중동 코스모폴리탄) | 부산시 금정구 금정로 225 4층,5층 | 몽골사무실- Ulaannaatar.mongola bayangol district 3-khoroo agro center 9-02
당사의 어플방식은 저작권 및 특허출원중입니다. 복제,모방,변용 및 유사 상행위 적발시,경고,통보없이 민형사상 책임을 진행합니다
Copyright © www.dmonster.co.kr All rights reserved.Since 2008 (주)세미콜론즈 · 사업자번호: 801-88-00338