[sakd.uk 이슈노트] JWT 보안 - 2 - RefreshToken 관리 (RTR)
2025.04.15
TL;DR사용자가 사용한 RefreshToken을 가로채 새로운 AccessToken을 발급받을 수 있다.RTR을 적용하여 이러한 재전송 공격을 방지할 수 있다.현재 발행되어 있는 토큰을 관리하기 위해 Redis, DB 등이 필요하다. RefreshToken을 탈취당한다면?이전 글에서 RefreshToken은 쿠키에 보관하여 JavaScript에서 직접 접근을 방지할 수 있다고 작성했습니다. 하지만 공격자가 토큰을 탈취하는 것을 완전하게 차단할 수는 없습니다.우회하여 RefreshToken을 열람할 수 있죠. �아래는 공격 시나리오 중 하나입니다.사용자가 AccessToken 갱신을 요청한다.공격자가 전송되는 쿠키를 가로채 RefreshToken(RT1)을 탈취한다.사용자는 신규 AccessToke..