JWT 사용시 유의사항

alg를 none으로 전송되는 경우의 예외처리

토큰의 decoding이 간단하기 때문에 토큰을 생성할 때 최소한의 정보로만 토큰을 생성해야함

토큰 생성시 사용되는 scretKey를 분리하여 관리하거나, 최대한 안전하게 관리해야함

JWT 토큰이 탈취된 경우의 대체사항을 가지고있어야함.

+ 내용을 확인하다보니 문득 추가로 확인해야할것 같은 부분이 생각났다. 보통 토큰을 접근용 토큰과 갱신용 토큰을 분리하여 사용할텐데,  토큰을 어디에 저장하고있는가? 라는 의문이 생겼다. asyncStorage에 두 토큰을 같이 저장 하면 생각보다 보안성이 많이 떨어질거같은데 AES로 이중 암호화하거나 서로 다른 보안영역에 저장을 하는 방법을 생각해 봐야할지도 모르겠다.. asyncStorage가 보안적으로 생각보다 많이 취약하다는 얘기가 있던데 이것도 좀 자세하게 확인해봐야겠다...