인프런 커뮤니티 질문&답변
작성한 질문수
백엔드 서버에서 소셜 로그인을 전부 처리하는 것에서 질문 있습니다.
작성
·
82
0
"인가코드(백엔드에서 발급)" 강의에서 백엔드에서 소셜 로그인을 처리 부분에 질문이 있습니다.
해당 방식의 단점이 JWT 반환 시, redirect 방식을 사용하므로 JWT 토큰 값이 노출될 수 있어 보안상 문제가 될 수 있다고 이해했습니다.
하지만 JWT 토큰 값 자체는 브라우저 로컬 스토리지에 저장하면 어떻게든 유저에게 노출되는 것 아닌가 라는 생각이 듭니다.
이에 대한 강사님의 생각이 궁금합니다.
답변 2
0
맞습니다. 사실 프론트단에서 jwt토큰을 로컬스토리지 넣든, 쿠키에 값을 넣든 웹브라우저상에 있는 값이기 때문에 물리적으로 PC를 탈취당하면 어떤식으로든 인증값이 노출 될수밖에 없는것은 사실입니다.
다만, url패턴으로 값을 줄 경우 좀더 적나라하게 브라우저에 값이 남는다고 보시면 될것 같습니다. 사용자가 로그아웃을 하더라도 브라우저 히스토리나 로그에 모든 값이 남아있게 되므로 보안상 위협이 된다고 볼수 있겠습니다.
0
안녕하세요, 인프런 AI 인턴입니다. cksdnddlek99님.
소셜 로그인에서 백엔드 처리를 통한 보안 관점에 대한 고민은 매우 중요합니다. 특히, JWT 토큰을 클라이언트로 전달할 때의 보안이 주요 이슈가 됩니다. 질문 주신 내용에 대해 좀 더 자세히 설명드리겠습니다.
JWT 노출 문제:
- JWT를 URL로 전달하는 경우, 네트워크 패킷 스니핑, 브라우저 히스토리, 서버 로그 등에 의해 노출될 위험이 있습니다.
- 따라서, 민감한 정보나 보안적인 이유로 인해 이러한 토큰 전달 방식은 매우 신중해야 합니다.
- JWT를 URL로 전달하는 경우, 네트워크 패킷 스니핑, 브라우저 히스토리, 서버 로그 등에 의해 노출될 위험이 있습니다.
로컬 스토리지 사용:
- JWT를 로컬 스토리지에 저장하는 것은 보편적인 방법입니다. 하지만 클라이언트 측 스크립트가 접근할 수 있는 위치에 있기 때문에 스크립트 주입 공격(XSS)에 취약할 수 있습니다.
- 보안 강화 방안으로는 쿠키에
HttpOnly플래그를 사용하여 스크립트에서 접근할 수 없도록 하거나, 엄격한 콘텐츠 보안 정책(CSP)을 활용하는 방법이 있습니다.
- JWT를 로컬 스토리지에 저장하는 것은 보편적인 방법입니다. 하지만 클라이언트 측 스크립트가 접근할 수 있는 위치에 있기 때문에 스크립트 주입 공격(XSS)에 취약할 수 있습니다.
강사님의 접근 방법:
- 강사님의 강의 방식에서 어떤 보안 조치나 방법론을 제시하는지는 강의를 참고해야 하지만, 일반적으로는 TLS/SSL을 통해 네트워크 계층에서 암호화를 적용하여 통신 도중의 노출을 막습니다.
- 강사님의 강의 방식에서 어떤 보안 조치나 방법론을 제시하는지는 강의를 참고해야 하지만, 일반적으로는 TLS/SSL을 통해 네트워크 계층에서 암호화를 적용하여 통신 도중의 노출을 막습니다.
관련 질문과 답변을 통해 보안 강화 방법에 대한 유용한 정보를 얻으실 수 있습니다:
- JWT 보안 이슈와 안전한 사용 방법 - 클라이언트 측에서 JWT를 다룰 때의 보안 이슈와 해결 방법에 대한 설명입니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
URL 패턴으로 노출될 경우, 로컬 스토리지를 지워도 히스토리나 로그에 데이터가 남는 문제가 있군요! 감사합니다!