ougi FE

저는 예전부터 하던 생각이 있었습니다 무심코 아무 곳에서나 토큰 관리를 한다면 토큰을 탈취 당할 수 있지 않을까?그래서 저는 보안쪽을 잘 모르기 때문에 오늘은 토큰 관리를 어디서 해야 안전할까 라는 주제로 알아보고저의 생각을 이야기 해보겠습니다 XSS 공격? CSRF 공격?일단 토큰을 탈취하기 위한 방법은 두가지정도가 있다고 하는데그 두가지가 XSS(Cross Site Scripting) 공격과 CSRF(Cross-Site Request Forgery) 공격이라고 합니다 XSS 공격이란?XSS 공격이란 보안이 취약한 웹사이트에 악의적인 스크립트를 걸어놓고 사용자가 이 스크립트를 강제로 실행하게끔 유도하는 방법입니다 예시웹사이트 게시물에 태그를 넣어두고 클릭을 유도합니다클릭 시 스크립트가 실행되면서 사용자..

오늘은 블로그를 살펴보다가 JWT라는 인증 방식을 알게 되어 글을 쓰게 되었습니다그동안 제가 알고 있던 인증 방식은 주로 세션과 쿠키 정도였는데또 다른 방식이 있다는 사실이 흥미로워서 글을 쓰게 되었습니다❓ JWT(Json Web Token)가 무엇일까?JWT는 클라이언트와 서버, 서비스와 서비스 사이 통신 시 권한 인가(Authorization)를 위해 사용하는 토큰이라고 합니다 장점데이터 위조나 변조를 방지할 수 있습니다JWT에는 모든 정보를 담고 있기 때문에 별도의 저장소가 없어도 됩니다확장성이 좋습니다모바일에서도 잘 동작합니다 (세션은 모바일 X)단점토큰의 길이가 너무 깁니다Payload 자체는 암호화가 되지 않아 위험합니다토큰을 탈취당하면 대처하기 어렵습니다세션이나 쿠키와의 차이점은구분세션/쿠키..