질문/조언질답게시판
Extra Form
PHP PHP 7.4
CMS Rhymix 2.x

라이믹스 사이트의 로그인 정보를

JWT 쿠키 기반으로 바꾸고 싶습니다.

그러니까 로그인하면 세션이 아니라

JWT 쿠키를 남기고 

로그인 여부를 판단하려면 JWT 쿠키를

열어서 파악하는거지요...

그래서 로그인 정보를 가급적 회원DB 접근 없이

다른 비라이믹스 서버에서 쉽게 가져다 쓰고 싶은데요...

이게 혹시 기본 옵션만으로 가능한가요?

아님 추가적인 애드온같은게 있을까요?

완전히 로그인 기반이 JWT 기반으로 바뀌는게 아니라

세션 기반으로 남더라도 추가적으로 JWT 로그인

시스템이 작동 가능하도록 쿠키만 관리하는

정도라도 상관없습니다.

  • profile

    현재 기본 기능으로는 지원되지 않습니다.

    애드온 등으로 만들어 쓰시는 것은 자유입니다.

     

    JWT는 매우 조심해서 사용하지 않으면 한 번 노출된 토큰을 사용하여 언제든지 다시 로그인할 수 있게 되는 등, 보안취약점이 발생할 가능성이 높은 기술입니다. 이걸 막으려다 보면 결국 DB나 그 밖의 서버단 스토리지를 사용하게 되어 JWT의 장점이 상당부분 상쇄되고요.

    참고: https://blog.ull.im/engineering/2019/02/07/jwt-strategy.html

     

    외부 서비스에서 이걸 어떻게 사용할지 예측할 수 없으므로 라이믹스 코어에서 굳이 보안취약점을 무릅쓰고 범용으로 JWT를 지원할 필요성은 느끼지 않고 있습니다. DB를 사용하는 것이 완전히 불가능한 환경이 아니라면 그냥 PHP 세션으로 연동하거나 DB를 사용하는 것을 권장합니다.