Id token의 서명 검증 문의

ide06120 · 10월 18, 2023, 4:39오전

안녕하세요 java spring으로 id 토큰을 검증하는 것을 구현하는 중 궁금한 것이 생겨서 질문 드립니다.

https://developers.kakao.com/docs/latest/ko/kakaologin/common#oidc-id-token-verify
위 문서에서 서명 검증 단계를 수행할 때, 공개키 목록에서 n, e 값을 이용해서 공개키를 생성 후 그것으로 서명을 검증하는 것으로 알고 있습니다. 공개키는 이미 제공되고 있고 n, e값을 이용해서 같은 공개키를 다시 만들어서 검증하는 이유를 모르겠습니다.
혹시 이렇게 검증하는 것이 잘못 되었다면 알려주시기 바랍니다!

woody.ho · 10월 18, 2023, 6:46오전

안녕하세요.

id_token은 jwt로 구성되어 있습니다.
이 정보는 카카오로 부터 발급 되지만, 이후 사용자(클라이언트)로 부터 전달되는 값은 서비스에서는 검증 해야만 합니다.

JWT특성 상, header와 payload 부분은 언제든지 변조 가능하기에 검증 해야만 합니다.