kasumil의 코딩 공작소

기존에 일했던 곳은 세션으로 로그인을 구현했는데, 이력서에 하도 포폴 내 사용가능이라길래 JWT라고 하도 사람들이 그러길래 기능 구현을 해보았다.JWT 내 만료시간, 서명, 내용이 들어간다. 그런데, 이거 완전 stateless라고해서 찾아보니 어허~딱히 그러지도 않네...기존에 서버의 경우 uuid를 통해 session을 만들어왔다.그런데, 이건 뭐;;;로그아웃 기능을 구현해보니, 탈취점이 확실히 보인다.서버에서 cookie로 리프레쉬토큰만 저장해두는데, 로그아웃시 리프레쉬 토큰을 삭제한다.리프레쉬는 서버에 저장하고 상대적으로 유효시간이 짧은 accesstoken을 저장하지 않게 구현했다.로그인시 accessToken 내 만료시간 확인해서 로그인 시키는 구조인데, 이게 탈취되면 막을 방법이 없는 것. ..

한국은 애플페이가 미지원이라 작동되지 않음을 알고 있을 것이다. 그런데, 이러한 상황에서 애플측이 nfc 읽기 권한을 풀어버렸다.(쓰기부분만 잠금된 상태). 그런고로 미래에셋페이라는 신기한 방식이 나왔는데, 위에 언급한 대로 nfc를 읽어 결제하는 방식이다. 이게 어떻게 가능한가? 싶었는데, 세븐일레븐의 경우 pos기기에 붙어 있어 nfc 태그에 접촉한 순간. 결제 금액, 업체, 그리고 시간별 인증 변하는 검증해쉬 이런 게 쓰여지는 기기가 POS와 연결되어 있을 것이라고 생각했다. 이디야를 보니 그런게 없더라. 그냥 업체에 있는건 nfc 태그뿐이었음. 아마도 거기에 있는 건 토큰과 업체 점포 정보라고 생각함.(한번 정보를 읽어보고 싶긴 하다.) -- 내 예상으로는-- ios 기기가 nfc를 통해 점포 정..