JWT 토큰을 URL로 전달하는 방식의 보안 위험성과 대안

JWT(JSON Web Token)를 URL 파라미터로 전달하는 방식은 보안상 여러 위험을 내포하고 있습니다. 이 방식의 문제점과 더 안전한 대안들을 살펴보겠습니다.

1. URL로 JWT 전달 시 보안 위험

• 로그 노출: URL은 서버 로그, 브라우저 히스토리 등에 기록될 수 있어 토큰이 노출될 위험이 있습니다[1][4].
• 중간자 공격 취약: HTTPS를 사용하더라도 URL은 암호화되지 않은 채로 전송될 수 있습니다[1].
• 사용자에 의한 우발적 공유: URL을 복사하여 공유할 때 토큰이 함께 노출될 수 있습니다[3].
• 브라우저 캐시: URL이 브라우저 캐시에 저장되어 보안 위험을 초래할 수 있습니다.

2. 안전한 대안들

2.1 Authorization 헤더 사용

JWT를 Authorization 헤더에 포함시켜 전송하는 것이 가장 권장되는 방법입니다.

Authorization: Bearer <token>

2.2 암호화된 쿠키 사용

HttpOnly와 Secure 플래그를 설정한 쿠키를 사용하여 JWT를 전송할 수 있습니다.

2.3 POST 요청 본문 사용

토큰을 POST 요청의 본문에 포함시켜 전송하는 방법도 고려할 수 있습니다.

3. OAuth 구현 시 고려사항

• 상태 파라미터 사용: CSRF 공격을 방지하기 위해 상태 파라미터를 활용하세요[7].
• 단기 인증 코드: 액세스 토큰 대신 단기 인증 코드를 URL로 전달하고, 이를 서버 측에서 액세스 토큰으로 교환하는 방식을 사용하세요.
• Proof Key for Code Exchange (PKCE): 공격자가 인증 코드를 가로채는 것을 방지하기 위해 PKCE를 구현하세요[7].

결론

JWT를 URL 파라미터로 전달하는 것은 보안상 위험합니다. 대신 Authorization 헤더, 암호화된 쿠키, 또는 POST 요청 본문을 통해 JWT를 전송하는 것이 좋습니다. OAuth 구현 시에는 추가적인 보안 메커니즘을 적용하여 토큰의 안전성을 높이세요.