반응형 RefreshToken1 [Spring Security] 운영 보안 설계 : subject 규약과 Access/Refresh 토큰 분리 단순히 토큰이 "동작한다"는 수준을 넘어, 사용자가 탈퇴하거나 토큰이 탈취되는 등 다양한 실패/공격 시나리오에 대응할 수 있는 운영 가능한 JWT 정책을 정리한다. 1. 핵심 개념 1: subject 규약 (provider:oauthId)1) 개념 정의JWT의 sub(subject)는 토큰의 주인을 나타내는 식별자다. 우리 프로젝트에서는 이를 PROVIDER:OAUTH_ID 형식으로 고정한다.예: GOOGLE:10923847, APPLE:000123.abcxyz 2) 왜 필요한가? (식별의 영속성)공급자별 식별 체계 통합: OAuth 공급자마다 ID 체계가 다르다. 이메일은 사용자가 변경할 수 있고, 탈퇴 후 재가입 시 같은 이메일을 사용할 수도 있어 영구 식별자로 쓰기에 위험하다.충돌 방지: provi.. 2026. 5. 9. 이전 1 다음 반응형
