배경
보안 리뷰(LOW) 후속. SecurityConfig.jwtDecoder 는 ES256 과 RS256 을 함께 허용한다. Supabase 가 ES256 만 발급하면 RS256 허용은 불필요한 공격 표면이다.
할 일
- 프로젝트 JWKS(
https://<ref>.supabase.co/auth/v1/.well-known/jwks.json)의 키 alg 확인.
- 전부 ES256 이면
.jwsAlgorithm(SignatureAlgorithm.RS256) 제거.
- RS256 토큰을 실제로 발급한다면 사유를 주석에 명시.
참고
배경
보안 리뷰(LOW) 후속.
SecurityConfig.jwtDecoder는 ES256 과 RS256 을 함께 허용한다. Supabase 가 ES256 만 발급하면 RS256 허용은 불필요한 공격 표면이다.할 일
https://<ref>.supabase.co/auth/v1/.well-known/jwks.json)의 키alg확인..jwsAlgorithm(SignatureAlgorithm.RS256)제거.참고