소개 JWT 는 stateless 성격을 가지고 있습니다. 그래서 별도의 세션 관리를 위한 DB가 필요없어 Microservice 환경에서도 많이 사용이 되고 있는데요. 하지만 이로인해 정해진 만료시간(expire) 시간 전에는 토큰이 유출되었다고 하더라도 유출된 토큰만 서버에서 파기할 방안이 없습니다. 그래서 짧은 만료시간을 설정하기를 권고하곤 하는데요. 공격자가 JWT 토큰을 가로채 정상 사용자로 가장하는 공격인 JWT sidejacking 공격에 취약할 수 있는데 […]