SECURITY CH4
JWT 보안 대책
JWT는 서명된 토큰이지만 Payload는 쉽게 읽을 수 있으므로 검증, 보관, 만료 정책을 함께 설계해야 합니다.
Integrity
무결성 검증
서명 검증, 안전한 알고리즘, 권한 클레임 검증으로 위변조를 확인합니다.
Exposure
노출 최소화
민감정보 저장 금지, HTTPS, 저장 위치 주의로 탈취 위험을 낮춥니다.
Lifecycle
수명 관리
짧은 만료시간, Refresh Token 회전, 차단 목록으로 폐기 전략을 둡니다.
서명 검증
토큰이 서버가 발급한 값인지 확인
위변조 방지
민감정보 금지
Payload는 디코딩 가능하므로 비밀번호와 개인정보 제외
노출 완화
만료와 폐기
짧은 만료, 재발급, 차단 목록으로 탈취 후 악용 제한
수명 관리