1:49 책 내용을 보면 시그니처 자체는 숨기지 않아도 되고, 비밀 키만 숨기면 된다고 적혀있는데 시그니처 안에 비밀 키가 들어있으니 이것도 유출되면 안 되는게 아닌가요? 비밀 키를 찾지 않고 그냥 바로eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.he0ErCNloe4J7Id0Ry2SEDg09lKkZkfsRiGsdX_vgEg이런 JWT문자열을 가로채서 API서버로 보내면 변조는 아니지만 그냥 그 사람인 척 할 수 있는게 아닌가요?

가로챈다면 일정 기간 동안에는 그 사람인 척 할 수는 있습니다만, 유효기간이 있어서 유효기간이 지난 후에는 그 사람인 척 할 수가 없죠.시그니처 안에 비밀 키는 꺼낼 수가 없습니다.

인프런 커뮤니티 질문&답변

JWT 시그니처, 비밀키 부분 질문