JWT 저장위치와 보안 방법이라..

JWT 사용시 고민이 되는것이 있다.

 

바로 ACCESS TOKEN 과 REFRESH TOKEN 저장 위치

 

쿠키에 저장을 하기에는 CSRF 가 걱정되고, 로컬 또는 세션스토리지에 저장하기에는 XSS 탈취에 너무 취약한것,,,

 

그래서 어떻게 사용할까 생각을 해보았는데

 

간편하게 로그인을 하면 결론적으로 액세스토큰, 리프레시토큰은 세션스토리지가 갖는다.

 

서버에서는 메모리에 해당 ACCESS TOKEN 을 요청한 USER IP 를 가지고 있고, ACCESS TOKEN을 확인할 때 마다 IP검증을 한다..

 

IP가 불일치할경우 액세스토큰 리프레시토큰 모두 소멸 해버리면

 

XSS로 탈취해도 못써먹지 않을까...??