Skip to content

refactor: JWT RS256 허용 필요성 확인 후 제거 검토 #3

Description

@pkdee

배경

보안 리뷰(LOW) 후속. SecurityConfig.jwtDecoder 는 ES256 과 RS256 을 함께 허용한다. Supabase 가 ES256 만 발급하면 RS256 허용은 불필요한 공격 표면이다.

할 일

  • 프로젝트 JWKS(https://<ref>.supabase.co/auth/v1/.well-known/jwks.json)의 키 alg 확인.
  • 전부 ES256 이면 .jwsAlgorithm(SignatureAlgorithm.RS256) 제거.
  • RS256 토큰을 실제로 발급한다면 사유를 주석에 명시.

참고

Metadata

Metadata

Assignees

Labels

Type

No type

Fields

No fields configured for issues without a type.

Projects

No projects

Milestone

No milestone

Relationships

None yet

Development

No branches or pull requests

Issue actions