클러스터 C6: 인코딩 및 해시
JWT 보안: 토큰 처리 모범 사례
JWT 문제의 핵심은 이론보다 운영입니다. 불완전한 검증, 키 회전 부재, 부적절한 저장 방식이 실제 사고를 만듭니다.
보호된 요청마다 완전 검증이 필요합니다
서명, issuer, audience, 만료 시간, 필요한 claims 를 매 요청마다 일관되게 검증해야 합니다. 일부만 확인하면 우회 가능성이 생깁니다.
게이트웨이, API, 에지 함수가 서로 다른 검증 로직을 가지면 동작 차이로 사고가 발생합니다.
수명 주기 제어를 설계에 넣으세요
- 고위험 작업에는 짧은 access token 수명을 사용합니다.
- 키 회전, refresh token 폐기, 실패 감사 로그를 운영 절차에 포함합니다.
- 저장 위치는 위협 모델에 따라 결정하고 편의성만 보고 고르지 않습니다.
실무 입력/출력 예시
입력
API Gateway 에서 전달된 JWT 목표: 라우트 접근 전 검증
출력
서명 + claims 검증 완료 감사 로그 남기고 허용, 실패 시 거부