bluemsi/2nd
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
d8a80f6272a5915a8357b59b8398f8e7890febaf
2nd/10_Wiki/Topics/Coding/Web_JWT_Patterns.md
T
Antigravity Agent 93ec7e9056 [G1-Sync] Manual knowledge update
2026-05-09 21:08:02 +09:00

3.8 KiB
Raw Blame History

id, title, category, status, source_trust_level, verification_status, created_at, updated_at, tags, tech_stack, applied_in, aliases
id title category status source_trust_level verification_status created_at updated_at tags tech_stack applied_in aliases
web-jwt-patterns JWT 패턴 — 토큰 저장 / 만료 / 회전 Coding draft B conceptual 2026-05-09 2026-05-09
web
auth
jwt
security
vibe-coding
language applicable_to
Any backend / browser
Web
Mobile
access token
refresh token
httpOnly cookie
token rotation

JWT 패턴

JWT 자체는 무상태 보안 도구일 뿐. 진짜 어려운 건 어디 저장? 만료? 회전? 무효화?. 잘못 저장하면 XSS 한 방으로 토큰 털림.

📖 핵심 개념

  • Access token: 짧은 만료 (5~15분), API 호출 권한.
  • Refresh token: 긴 만료 (1~30일), access 재발급 용. 회전 (rotation) 필수.
  • 저장 위치 트레이드오프:
    • localStorage: XSS 취약. 절대 비추.
    • sessionStorage: 탭 닫으면 사라짐. 사용자 경험 나쁨.
    • httpOnly + Secure + SameSite cookie: XSS 차단. 권장.
    • 메모리 (변수): 새로고침에 사라짐. + httpOnly cookie 로 refresh.

💻 코드 패턴

1. Access in memory + Refresh in httpOnly cookie

// 로그인 응답
res.cookie('rt', refreshToken, {
  httpOnly: true, secure: true, sameSite: 'strict',
  maxAge: 7 * 24 * 60 * 60 * 1000, path: '/api/auth/refresh',
});
res.json({ accessToken });

// 클라이언트
let access = data.accessToken; // memory only
fetch('/api/me', { headers: { Authorization: `Bearer ${access}` } });

2. Access 만료 시 자동 refresh

async function authedFetch(input: RequestInfo, init: RequestInit = {}) {
  let res = await fetch(input, withAuth(init, access));
  if (res.status !== 401) return res;
  // refresh
  const r = await fetch('/api/auth/refresh', { method: 'POST', credentials: 'include' });
  if (!r.ok) throw new Error('session expired');
  access = (await r.json()).accessToken;
  return fetch(input, withAuth(init, access));
}

3. Refresh token rotation

// 서버: refresh 호출 시 새 refresh 발급 + 옛 것 무효화
app.post('/api/auth/refresh', async (req, res) => {
  const old = req.cookies.rt;
  const session = await db.sessions.find({ refreshToken: old });
  if (!session || session.revokedAt) return res.status(401).end();

  // 옛 것 invalidate
  await db.sessions.update(session.id, { revokedAt: new Date() });

  // 새 발급
  const newRt = signRefresh({ userId: session.userId });
  await db.sessions.create({ userId: session.userId, refreshToken: newRt });

  res.cookie('rt', newRt, cookieOpts);
  res.json({ accessToken: signAccess({ userId: session.userId }) });
});

🤔 의사결정 기준

환경 저장
Web SPA access in memory + refresh in httpOnly cookie
SSR (Next.js) session cookie + 서버에서 access 발급
Mobile (RN/iOS/Android) secure storage (Keychain/Keystore)
서버-서버 짧은 access, OAuth client credentials

안티패턴

  • localStorage 에 access token 저장: XSS 한 방으로 탈취. 사고.
  • Refresh token rotation 안 함: 한 번 탈취되면 영원히 유효. rotation + reuse detection.
  • JWT signature 만 검증, 만료 안 봄: 만료 토큰 통과. exp / nbf 모두 검증.
  • JWT payload 에 비밀 정보: payload 는 base64 — 누구나 디코드. 비밀 X.
  • 장시간 access token (24h+): 탈취 시 피해 커짐. 짧게 + refresh.
  • 로그아웃 시 토큰 무효화 안 함: stateless 라 어렵지만 refresh 무효화는 DB 레벨로.
  • CSRF 보호 누락 (cookie auth): SameSite=strict + CSRF token.

🤖 LLM 활용 힌트

  • 인증 코드 작성 시 "access in memory + refresh in httpOnly cookie + rotation" 패턴 강제.
  • LLM 이 localStorage 사용하려 하면 막기.

🔗 관련 문서

Reference in New Issue View Git Blame Copy Permalink