저번 게시물에서 JWT 토큰 탈취의 위험성에 대해서 얘기했었다. 이것을 어떻게 방지할까?
일단 크게 탈취 경로는 주로 이 두가지이다. 메모리 접근을 통한 탈취: 클라이언트 측에서 악성 스크립트나 악성 코드가 메모리나 스토리지에 저장된 토큰에 접근하여 탈취하는 경우.
XSS 공격 등이 대표적인 예다. 네트워크에서의 탈취: 클라이언트와 서버 간의 통신이 암호화되지 않은 경우, 공격자가 트래픽을 가로채고 탈취하는 경우이다.
HTTP를 통한 통신이나 보안이 취약한 네트워크가 위험합니다. 여기서 문제 어떻게 막을까 유효기간을 짧게 두어서 자주 로그인하도록 해서 막기?
Secure 속성으로 HTTPS만을 사용해 SSL이나 TLS 암호화된 헤더 및 데이터를 보내기 + HttpOnly 속성을 사용해서 javascript 주입을 막기 + SameSite 속성으로 엉뚱한 곳에 다른 사이트에 보낼 쿠키 보내는 것을 방지해주기(CSRF 방지) + 탈취가 되어도 유효기간이 다른 Access Token, R...
![[JWT] Refresh Token](https://mblogthumb-phinf.pstatic.net/MjAyNDA4MjNfMTkx/MDAxNzI0NDIzMTA0NTk2.3ZQGPALoeKhoMo9RSeDxiw_sBPtX1IhfoMcLC4mJ6TMg.kxA1cIy7ilqBzC3sA4Wqel6N-tyBejUdBmHayNwMT1cg.PNG/image.png?type=w2)
#
AccessToken
#
HttpOnly
#
JWT
#
RefreshToken
#
RTR
#
XSS
#
토큰탈취
원문 링크 : [JWT] Refresh Token
![[JWT] JWT란? (JSON Web Token)](https://blogimgs.pstatic.net/nblog/mylog/post/og_default_image_160610.png)