해결된 질문
작성
·
262
·
수정됨
0
1:49 책 내용을 보면 시그니처 자체는 숨기지 않아도 되고, 비밀 키만 숨기면 된다고 적혀있는데 시그니처 안에 비밀 키가 들어있으니 이것도 유출되면 안 되는게 아닌가요? 비밀 키를 찾지 않고 그냥 바로
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.he0ErCNloe4J7Id0Ry2SEDg09lKkZkfsRiGsdX_vgEg
이런 JWT문자열을 가로채서 API서버로 보내면 변조는 아니지만 그냥 그 사람인 척 할 수 있는게 아닌가요?
답변 1
2
가로챈다면 일정 기간 동안에는 그 사람인 척 할 수는 있습니다만, 유효기간이 있어서 유효기간이 지난 후에는 그 사람인 척 할 수가 없죠.
시그니처 안에 비밀 키는 꺼낼 수가 없습니다.
그렇군요. 감사합니다