JWT 보안: XSS로 털린 리프레시 토큰, Rotation 전략으로 막아낸 실전 코드
최근 금융 도메인의 인증 시스템 을 고도화하던 중, 모의 해킹(Penetration Test)에서 치명적인 시나리오가 보고되었습니다. 공격자가 XSS(Cross-Site Scripting) 취약점을 통해 사용자의 Refresh Token 을 탈취했을 때, Acces…
Stopping JWT Theft: Implementing Refresh Token Rotation with Reuse Detection
The security audit report landed on my desk on a Friday afternoon, and it wasn't pretty. While our access token expiration was tight (15 minutes…
JWT盗難対策:リフレッシュトークンローテーションと再利用検知の実装(Node.js + Redis)
「ユーザーがログアウトしたはずなのに、誰かがアカウントを操作している」。これは以前、私が担当していた大規模なEコマースプラットフォーム(MAU 50万規模)で実際に発生したインシデントです。原因は、XSS脆弱性を突かれてローカルストレージから盗まれた長期間有効なリフレッシュトークンでした。アク…
Rotación de Refresh Token: Cómo detuve el robo de sesiones JWT en Producción
Hace unos meses, durante una auditoría de seguridad en una plataforma Fintech que manejaba más de 50,000 usuarios activos diarios, nos encontramos …