인프런 영문 브랜드 로고
인프런 영문 브랜드 로고

인프런 커뮤니티 질문&답변

roider2316님의 프로필 이미지
roider2316

작성한 질문수

[개정3판] Node.js 교과서 - 기본부터 프로젝트 실습까지

JWT 토큰 발급하기

JWT 시그니처, 비밀키 부분 질문

해결된 질문

작성

·

262

·

수정됨

0

1:49 책 내용을 보면 시그니처 자체는 숨기지 않아도 되고, 비밀 키만 숨기면 된다고 적혀있는데 시그니처 안에 비밀 키가 들어있으니 이것도 유출되면 안 되는게 아닌가요? 비밀 키를 찾지 않고 그냥 바로

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.he0ErCNloe4J7Id0Ry2SEDg09lKkZkfsRiGsdX_vgEg

이런 JWT문자열을 가로채서 API서버로 보내면 변조는 아니지만 그냥 그 사람인 척 할 수 있는게 아닌가요?

답변 1

2

제로초(조현영)님의 프로필 이미지
제로초(조현영)
지식공유자

가로챈다면 일정 기간 동안에는 그 사람인 척 할 수는 있습니다만, 유효기간이 있어서 유효기간이 지난 후에는 그 사람인 척 할 수가 없죠.

시그니처 안에 비밀 키는 꺼낼 수가 없습니다.

roider2316님의 프로필 이미지
roider2316
질문자

그렇군요. 감사합니다

roider2316님의 프로필 이미지
roider2316

작성한 질문수

질문하기