SECURITY · CH4

JWT 보안 대책

JWT는 기본적으로 암호화가 아니라 서명된 토큰이므로 서명 검증, 만료, 저장 위치, 재발급 정책을 별도 통제로 둡니다.

JWT 보안 대책 구성 요소

토큰 점검
서명 검증alg none 거부, 알고리즘 고정, 키 관리를 확인합니다.
만료 시간access token은 짧게, refresh token은 안전하게 관리합니다.
저장 위치XSS와 CSRF 위험을 고려해 쿠키/스토리지 선택을 설계합니다.
폐기·재발급로그아웃, 탈취 의심, 권한 변경 시 무효화 전략이 필요합니다.

JWT 보안 대책 진행 순서

토큰 수명
발급claim+signature
검증서명·만료
사용권한 판단
오해 방지

JWT payload는 Base64URL로 인코딩되어 쉽게 볼 수 있으므로 비밀번호나 민감정보를 넣으면 안 됩니다.