Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

회원 권한 변경된 후, 이미 발급된 토큰 폐기해야함. #106

Open
Dong-Hyeon-Yu opened this issue May 20, 2022 · 2 comments
Open

회원 권한 변경된 후, 이미 발급된 토큰 폐기해야함. #106

Dong-Hyeon-Yu opened this issue May 20, 2022 · 2 comments
Assignees
@Dong-Hyeon-Yu
Labels
invalid This doesn't seem right new feature New feature or request

Comments

@Dong-Hyeon-Yu
Copy link
Member

이미 발급된 토큰에 대해서는 jwt 토큰의 특성상 signature 가 유효한지만 확인함.

회원의 권한이 변경된 이후에, 토큰이 만료되지 않는다면 새롭게 권한이 적용되지 않음.

따라서 role 이나, team 이 변경된 이후에는

이미 발급된 토큰을 사용할 수 없도록 하는 장치가 필요함.
@Dong-Hyeon-Yu Dong-Hyeon-Yu added new feature New feature or request invalid This doesn't seem right labels May 20, 2022
@Dong-Hyeon-Yu Dong-Hyeon-Yu self-assigned this May 20, 2022
@Dong-Hyeon-Yu
Copy link
Member Author

예상 시나리오1

  1. 길동이가 이번학기에 새롭게 회장단이 되었다.
  2. 그래서 기존의 회장단이, 홈페이지에서 권한을 올려주었다.
  3. 신나는 마음으로 홈페이지에 길동이가 로그인 했지만, 브라우저에 저장되어있던 기존의 토큰으로 로그인 된다.
  4. 기존의 토큰은 회장단 권한이 적용되지 않은 토큰이므로, 길동이는 정상적으로 홈페이지를 이용할 수 없다.

예상 시나리오2

  1. 길동이가 동아리를 나가게 되었다.
  2. 그래서 기존의 회장단이, 홈페이지에서 회장단 권한을 빼앗았다.
  3. 혹시나 하는 마음으로 길동이가 홈페이지에 로그인 했는데, 브라우저에 저장되어 있던 기존의 토큰으로 로그인 된다.
  4. 기존의 토큰은 회장단 권한이 적용되는 토큰이므로, 길동이는 홈페이지를 마구 이용할 수 있다.

@Dong-Hyeon-Yu
Copy link
Member Author

대안으로는

  • 세션을 함께 사용하는 방법
  • 회원 권한이 변경되었을 때, 이벤트를 발생해서 db에 저장된 리프레시 토큰을 삭제하기

@DongilMin DongilMin mentioned this issue Sep 26, 2024
Closed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@Dong-Hyeon-Yu Dong-Hyeon-Yu

Labels
invalid This doesn't seem right new feature New feature or request
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@Dong-Hyeon-Yu