GET 요청의 쿼리 매개변수로 jwt를 URL에 넣는 것은 안전한가요?

GET 요청의 쿼리 매개변수로 jwt (json web token)을 URL에 넣는 것이 안전할까요?

답변 1

다음의 상황에서 안전할 수 있습니다:

1. JWT는 일회용으로만 사용되는 경우


2. 토큰에 jti와 exp 클레임이 포함되어 있는 경우


3. 수신자가 jti와 exp를 사용하여 재생 방지를 제대로 구현한 경우

그러나 토큰이 반복적으로 사용될 수있는 경우 예를들어 API에 대해 제공되는 경우, 쿼리 매개 변수로 제공하는 것보다는 헤더나 POST 매개 변수의 일부로 제공하는 것이 좋습니다. 왜냐하면 쿼리 매개 변수의 경우 로그 및 시스템 프로세스 정보에 노출되어 서버나 클라이언트 시스템에 액세스 권한이있는 다른 사용자에게 이용될 수 있기 때문입니다.

또한, 쿼리 매개 변수로 사용하면 브라우저나 서버의 URL 크기 제한에 부딪힐 수 있으며, 헤더에서 사용하면 더 많은 공간을 제공하므로 POST 매개 변수로 사용하는 것이 가장 좋습니다.

답변 2

잘 알려진 바와 같이 JWT(토큰)은 인증 및 권한 부여를 위해 널리 사용되는 토큰 기반 인증 방식입니다. JWT는 클라이언트와 서버 간의 통신에 사용되며, 일반적으로 안전한 URL에 포함되지 않고 HTTP 헤더에 포함되어 전송됩니다. 그러나 때로는 GET 요청에서 JWT를 URL의 쿼리 매개변수로 인코딩하는 경우가 있습니다. 그러나 이러한 방법은 보안적 측면에서 매우 위험할 수 있습니다.
첫째, URL에 포함된 JWT는 노출될 위험이 높습니다. GET 요청은 URL에 매개변수를 노출시킴으로써 보안에 민감한 정보들이 외부로 노출될 수 있습니다. 이는 토큰을 가로채거나 조작할 수 있는 공격자에게 쉽게 노출될 수 있다는 것을 의미합니다. 특히 검색 엔진에 노출되는 것은 보안상의 문제로 이어질 수 있습니다.
둘째, 검색 엔진 최적화에 영향을 미칠 수 있습니다. URL에 JWT를 직접 포함하는 경우, 해당 URL은 매번 요청할 때마다 변경될 수 있습니다. 검색 엔진은 동일한 URL에 여러 번 접근하여 내용을 색인화하는데, URL의 동적인 특성으로 인해 검색 결과에 불일치성이 생길 수 있습니다. 또한 JWT가 민감한 정보를 포함하지 않더라도, URL은 타사 웹사이트에 의해 포착되어 검색 결과에 노출될 수 있습니다.
따라서, JWT를 URL의 쿼리 매개변수로 사용하는 것은 안전하지 않습니다. 대신에 JWT는 HTTP 헤더에 포함되어야 하며, POST 요청과 같은 안전한 방법을 통해 전달되어야 합니다. 또한, 검색 엔진 최적화를 고려한다면, URL에 매개변수로 JWT를 직접 포함하지 않는 것이 중요합니다. 이를 통해 보안과 검색 엔진 최적화에 동시에 신경을 쓸 수 있습니다.