Open utterances-bot opened 2 months ago
공격자가 RT를 탈취했는데, 원래 사용자가 서비스를 사용하지 않는다면 공격자를 잡는 방법이 있을까요?
공격자가 RT를 탈취했는데, 원래 사용자가 서비스를 사용하지 않는다면 공격자를 잡는 방법이 있을까요?
@hwanheejung
좋은 질문입니다! RTR을 사용하는데 기존 사용자가 접속을 하지 않는다면 탈취자는 계속 서비스를 이용할 수 있겠죠
이 문제를 해결하려면 사용자의 IP를 추적하여 평소와 다른 IP에서 접속했을 때에는 재로그인을 수행하게 하거나, 사용자에게 알림을 보내 본인이 맞는지 확인하는 방법들이 있습니다. 구글이 이러한 방법을 사용합니다!
JWT 개념과 탈취 대안까지의 핵심 정리 | 안정적인 블로그
이 포스팅은 Cookie, Session, Token을 안다는 가정 하에 진행됩니다. 대부분의 사용자 인증/인가 작업에 JWT를 알아보고 탈취 위험과 이를 방지하기 위한 기법까지 알아보겠습니다.
https://ajroot5685.github.io/posts/JWT/