JWT 토큰을 브라우저에 저장하는 것이 얼마나 안전합니까?

Question

JWT를 사용하여 토큰 기반 인증을 구현하고 있으며 지금까지 읽은 것부터 세션을 통해 세션을 저장하는 방법은 localstorage/cookie를 통해 이루어집니다. 그 값은 쿠키를보기 위해 dev 툴바를 사용할 수있는 누군가에게 일반 텍스트로되어 있기 때문에, 누군가가 그 토큰을 사용하는 것을 막고 공개적으로 노출 된 엔드 포인트에 보내는 것은 무엇입니까?

Answer 1

일반적으로 dev 도구 모음을 통해 토큰을 가져올 수있는 사용자는 토큰을 정기적으로 획득 할 수있는 사용자와 같습니다. 보안 문제가 아니어야합니다.

각 JWT 토큰에는 모든 리소스에서 확인되는 청중 (aud) 주장이 있어야합니다. 따라서 토큰은 발행되지 않은 엔드 포인트에 액세스하는 데 사용될 수 없습니다.