JWT 2

OpenID Connect

학습 목표OpenID Connect(OIDC) 가 OAuth 2.0 위 identity layer임을 설명할 수 있다.ID token과 access token의 목적·검증 차이를 구분할 수 있다.Authorization Code + PKCE로 OIDC 로그인 흐름을 단계별로 설명할 수 있다.nonce·iss·aud·exp 검증과 UserInfo endpoint 역할을 설명할 수 있다.문제 상황OAuth access token만 받고 sub를 로그인 ID로 썼다access token은 API 위임용 — 신원 증명 표준이 아님Google "로그인" 후 이메일을 UserInfo 없이 access token payload에서 읽었다provider마다 형식이 다르고 검증 규칙도 없다ID token 서명 검증 없이..

JWT

학습 목표JWT(JSON Web Token) 의 header·payload·signature 구조를 설명할 수 있다.서명·검증으로 무결성을 보장하는 방식을 설명할 수 있다.세션 쿠키와 JWT 무상태 인증의 차이를 비교할 수 있다.토큰 저장 위치(메모리, localStorage, HttpOnly cookie) 트레이드오프를 설명할 수 있다.문제 상황마이크로서비스 10개인데 세션 스티키가 필수라고 한다중앙 세션 저장소 없이 검증만 하고 싶다JWT를 localStorage에 넣었다가 XSS로 전부 털림"JWT가 안전한 로그인"이 아니다payload를 Base64 디코딩해 role: admin을 직접 수정했다서명 검증 없이 믿으면 인증 우회로그아웃해도 토큰이 만료 전까지 통한다무상태 토큰의 철회 문제인증 기초에..