제발 JWT 좀 알고 써라

얼마나 잘못된 자료들이 넘치는가.
얼마나 잘못된 코드샘플이 넘치는가.

이 잘못된 자료들이 얼마나
블로그로, 토이프로젝트로 양산되는가.

그리고 프로그래밍을 갓 공부한 나또한
얼마나 잘못된 자료들을 양산하고 있는가.

이 양산된 자료로 만들어진 잘못된 컨벤센들
오해들, 심지어 컨센서스처럼 보이는 받아들여 지는 것들.

정보의 바다가 아니라 surfing on the noisy waves다.

JWT관련해서 최소한 알아야될 것은
OWASP(Open Web Application Security Project)에서
Standards로 혹은 Cheat Sheet로 공개하고 있다.

https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html

그냥 이걸 파고, 생각들을 공유하는게 좋지않을까?
나 자신에게 하는 말이다. 자신없으면 그냥 noise trader로 남아있어도 된다. 그게 내 한계다.

1. None Hashing Algorithm으로 뚫어버리기
2. 토큰 가로채기
3. 토큰 클라이언트 측에서 무효화 할 수 없음
4. 토큰 정보 자체는 암호화 되어있지 않음
5. 클라이언트에 토큰 저장할때 생기는 문제점(XSS,CRSF등)
6. 토큰 서명 시크릿 키 자체가 약할 경우

영어 공부를 백날해도 번역이 안된다.

1. None Hashing Algorithm
2. Token Sidejacking
3. No Built-In Token Revocation by the User
4. Token Information Disclosure
5. Token Storage on Client Side
6. Weak Token Secret

END.