허원철의 개발 블로그

이번 글은 auth0에서 제공하는 jwt를 활용하는 글입니다. ※ jwt에 대해 모르시거나 이해가 부족하시다면, 간략한 글이지만 이전 포스팅을 읽어보시면 미약하게(?) 도움이 되시리라 생각합니다...(http://heowc.tistory.com/20) JWT 생성 - 기본적으로는 create(), sign() 메소드만 있으면 됩니다. 그 안에 부가적인 정보를 추가하기 위해 claims를 추가 할 수도 있고 많이 쓰이는 내용은 별개로 추가할 수 있도록 되어 있습니다. (withExpiresAt, withIssuerAt, ... 등등) 1234567891011EXPIRES_DATE = Date.from(EXPIRES_LOCAL.toInstant(ZoneOffset.ofHours(9))); try { JWT_..

이번글은 OAuth 부터 JWT 까지의 전반적인 내용에 대한 간략한 글입니다. 2007년 10월OAuth1.0 - 세션 고정 공격(Session Fixation Attack) 보안 결점 발견됨 2009년 06월OAuth1.0a - User, Consumer, Service Providerex )User : 트위터 사용자Consumer : 트위터 단말 어플리케이션Service Provider : 트위터 API 서비스 - 인증프로세스 : 로그인 요청 -> 인증 서버를 통해 인증 -> 인증 토큰 전달 -> 성공 ※ 인증 토큰을 가짐으로서의 장점..?1. Consumer 가 id/pw를 가지지 않아도 됨2. 권한 제어 가능3. 사용자가 인증서비스에서 권한 취소도 가능4. 패스워드 변경 시에도 인증 토큰과는 무관..