2023-12-12-TIL
2023-12-12-TIL
Today I Learned
JWT Structure
- https://auth0.com/docs/secure/tokens/json-web-tokens/json-web-token-structure
JWT Use Cases
- https://datatracker.ietf.org/doc/html/rfc7519
- https://jwt.io/introduction
- https://velopert.com/2389
- https://security.stackexchange.com/questions/256794/should-i-specify-jwt-audience-and-issuer-if-i-have-only-one-spa-client
- https://www.loginradius.com/blog/engineering/guest-post/jwt-authentication-best-practices-and-when-to-use/
- https://blog.logrocket.com/jwt-authentication-best-practices/
- https://evertpot.com/jwt-is-a-bad-default/
- https://documentation.softwareag.com/webmethods/compendiums/v10-11/C_API_Management/index.html#page/api-mgmt-comp/co-jwt_usecase_workflow.html
- https://curity.io/resources/learn/jwt-best-practices/
- https://www.linkedin.com/advice/3/how-do-you-use-jwt-claims-enforce-authorization
- https://auth0.com/docs/secure/tokens/json-web-tokens/json-web-token-claims
JWT Issuer (iss)
- https://mojoauth.com/glossary/jwt-issuer/
JWT Identifying Private, Admin Token
JWT 토큰을 통해서 내부에서 발급한 토큰인지 외부에서 발급한 토큰인지 확인해서 외부망에서 내부용 토큰을 사용하면 block 하도록 설정하고 싶다. 하지만 나의 상황에서 발급처(issuer)로 식별되는 내/외부 정보는 관리자 or 일반 사용자로 구분하는 기준과 동일하다. 즉, ‘관리자도 내부망을 통해서만 접근 가능하다’라는 요구사항이 있으므로 두 가지 방법 모두 동일하게 요구사항을 충족할 수있다.
하지만 아래와 같이 구분할 수 있는 속성을 추가한다고 해도 해당 속성을 조작할 수 있는 여지가 충분히 있다. 따라서 해당 속성의 암호화 등을 추가로 고려하면 더욱 안전하게 관리할 수 있다.
1
2
3
4
5
6
7
{
"sub": "user123",
"iss": "your_issuer",
"aud": "your_audience",
"internal": true, // 내부망 여부
"admin": false // 관리자 여부
}
MongoDB
- https://en.wikipedia.org/wiki/MongoDB
- https://www.ibm.com/kr-ko/topics/mongodb
- https://www.w3schools.com/mongodb/
- https://www.linkedin.com/company/mongodbinc
- https://twitter.com/MongoDB
- https://jaehoney.tistory.com/314
- https://appmaster.io/ko/blog/monggodibiran-mueosinga
JUnit5
- https://toneyparky.tistory.com/3
This post is licensed under CC BY 4.0 by the author.