Jwt Token 인증방식을 사용하면서 memberId를 path variable로 받는것은 보안적인 이슈가 있다.

1. 문제 상황
2. 문제 해결
✏️ HttpServeletRequest를 사용하자

1. 문제 상황

실제 운영해야 하는 사이트를 개발하고 있기 때문에 보안적인 이슈들을 계속 생각하고 수정해 나가고 있다.

기존에는 예를 들어 마이페이지 정보를 얻어오는 Rest API를 /api/members/{memberId} 라고 설계하고 구현했다.

하지만 Https 프로토콜을 적용하더라도 path variable 또는 query parameter로 받는 데이터는 URI에 포함되어 암호화되지 않기 때문에 보안적으로 좋지 않을뿐더러
Jwt token 인증 방식을 사용하면 토큰에 사용자 식별정보가 들어있는데 굳이 클라이언트한테 다시 본인에 대한 키를 받을 필요가 없다고 생각을 했다.

2. 문제 해결

✏️ HttpServeletRequest를 사용하자

HttpServletRequest를 사용하면 사용자의 Http 요청의 header 값을 가져올 수 있다.
이를 이용해 Authorization 헤더를 통해 받은 Access Token을 통해 사용자 식별정보를 가져온다.

@GetMapping("api/v1/members")
public SuccessResponse<MemberInfoRes> getMemberProfile(HttpServletRequest request) {
    String resolvedToken = jwtTokenProvider.resolveToken(request.getHeader(AUTHORIZATION_HEADER));

    MemberInfoRes memberInfo = memberSearchService.searchMyPageInfo(
            Long.parseLong(jwtTokenProvider.getSubject(resolvedToken)));
            
    return new SuccessResponse<>(MYPAGE_SEARCH_SUCCESS, memberInfo);
}

해당 코드는 예시이며 위와 같이 구현할 수 있다는 것을 보여주기 위해 가져왔다.

저작자표시

'👨‍👩‍👧‍👦 Project > 📺 KIOSEK' 카테고리의 다른 글

모니터링환경 구축하기 with Spring Actuator, Micrometer, Prometheus, Grafana (0)	2023.05.15
AES-256 대칭키 알고리즘을 통한 학번, 이메일 개인정보 암호화 (0)	2023.05.15
Docker 여러 컨테이너의 볼륨, 네트워크를 간편하게 관리하고 실행하는 방법 (with Docker Compose) (0)	2023.05.10
하나의 물리 서버에 React 빌드파일과 Spring Boot Jar Tomcat WAS 배포를 위한 NGINX 설정 (0)	2023.05.10
Amd64를 지원하지 않는 Docker Image Error (0)	2023.03.12

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

Jwt Token 인증방식을 사용하면서 memberId를 path variable로 받는것은 보안적인 이슈가 있다.

1. 문제 상황

2. 문제 해결

✏️ HttpServeletRequest를 사용하자

'👨‍👩‍👧‍👦 Project > 📺 KIOSEK' 카테고리의 다른 글

1. 문제 상황

2. 문제 해결

✏️ HttpServeletRequest를 사용하자

'👨‍👩‍👧‍👦 Project > 📺 KIOSEK' 카테고리의 다른 글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역