You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
안녕하세요 현재 개발을 얼마하지 않은 신입개발자 입니다. 현재 저희 회사에서 ax-boot framework 기반의 admin 페이지를 사용중인대요 jwtsessionHandler 를 보던중 의문의 들어 문의 합니다.
jwt 는 기본적으로 header, payload, signature 로 구성되 있는것으로 알고 있습니다. 하지만 jwtsessionHandler 는 이 jwt 에 해더에 sessionUser 를 저장하는 구조로 되었어 보입니다. 그래서 테스트해보니 생성되는 jwt 가 header에 정보가 다 담기게 되더라구요 그리고 expirydate 같은 가변정보가 없다보니
생성된 jwt 가 동일해 보이는데 쿠키가 탈취되면 생성되는 jwt 는 같기 때문에 항상 접속될 것으로 생각됩니다.
제가 생각하기에 쿠키로 아이디와 페스워드를 넘기는것과 다를게 없다고 생각되는데 이거에 대해 어떻게 생각하시는지 궁금합니다. 제가 잘못알고있다면 알려주시 수 있으시갈까요?
그리고 좋은 프레임워크 재공해주셔서 감사합니다.
The text was updated successfully, but these errors were encountered:
안녕하세요 현재 개발을 얼마하지 않은 신입개발자 입니다. 현재 저희 회사에서 ax-boot framework 기반의 admin 페이지를 사용중인대요 jwtsessionHandler 를 보던중 의문의 들어 문의 합니다.
jwt 는 기본적으로 header, payload, signature 로 구성되 있는것으로 알고 있습니다. 하지만 jwtsessionHandler 는 이 jwt 에 해더에 sessionUser 를 저장하는 구조로 되었어 보입니다. 그래서 테스트해보니 생성되는 jwt 가 header에 정보가 다 담기게 되더라구요 그리고 expirydate 같은 가변정보가 없다보니
생성된 jwt 가 동일해 보이는데 쿠키가 탈취되면 생성되는 jwt 는 같기 때문에 항상 접속될 것으로 생각됩니다.
제가 생각하기에 쿠키로 아이디와 페스워드를 넘기는것과 다를게 없다고 생각되는데 이거에 대해 어떻게 생각하시는지 궁금합니다. 제가 잘못알고있다면 알려주시 수 있으시갈까요?
그리고 좋은 프레임워크 재공해주셔서 감사합니다.
The text was updated successfully, but these errors were encountered: