Jwt Token 인증방식을 사용하면서 memberId를 path variable로 받는것은 보안적인 이슈가 있다.

1. 문제 상황

---

실제 운영해야 하는 사이트를 개발하고 있기 때문에 보안적인 이슈들을 계속 생각하고 수정해 나가고 있다. 

기존에는 예를 들어 마이페이지 정보를 얻어오는 Rest API를 /api/members/{memberId} 라고 설계하고 구현했다.

하지만 Https 프로토콜을 적용하더라도 path variable 또는 query parameter로 받는 데이터는 URI에 포함되어 암호화되지 않기 때문에 보안적으로 좋지 않을뿐더러
Jwt token 인증 방식을 사용하면 토큰에 사용자 식별정보가 들어있는데 굳이 클라이언트한테 다시 본인에 대한 키를 받을 필요가 없다고 생각을 했다.

 

 

2. 문제 해결

---

✏️ HttpServeletRequest를 사용하자

HttpServletRequest를 사용하면 사용자의 Http 요청의 header 값을 가져올 수 있다.
이를 이용해 Authorization 헤더를 통해 받은 Access Token을 통해 사용자 식별정보를 가져온다.

@GetMapping("api/v1/members")
public SuccessResponse<MemberInfoRes> getMemberProfile(HttpServletRequest request) {
    String resolvedToken = jwtTokenProvider.resolveToken(request.getHeader(AUTHORIZATION_HEADER));

    MemberInfoRes memberInfo = memberSearchService.searchMyPageInfo(
            Long.parseLong(jwtTokenProvider.getSubject(resolvedToken)));
            
    return new SuccessResponse<>(MYPAGE_SEARCH_SUCCESS, memberInfo);
}

해당 코드는 예시이며 위와 같이 구현할 수 있다는 것을 보여주기 위해 가져왔다.