Password reset token

비밀번호 재설정 링크/코드를 위한 1회성 토큰(만료/재사용 방지/유출 대응이 핵심)

분야: 보안/인증 시리즈: 인증/인가 기본기 securityauthtoken

Password reset token은 비밀번호 재설정 링크/코드에 포함되는 일회성 토큰입니다. 토큰이 유출되면 계정 탈취로 이어질 수 있어 운영 정책이 중요합니다.

체크리스트

  • 충분히 긴 랜덤값(추측 불가)
  • 짧은 만료 시간(예: 15~60분)
  • 1회 사용 후 즉시 무효화
  • DB에는 원문 대신 해시 저장(유출 대응)

관련 문서: 비밀번호 재설정(Reset) 플로우 설계

관련 문서

Brute force
비밀번호/토큰을 무차별 대입으로 맞추려는 공격(로그인/OTP/리셋 링크)
Content-Security-Policy (CSP)
XSS를 줄이기 위해 ‘어떤 리소스를 어디서 로드해도 되는지’를 선언하는 보안 정책(HTTP 헤더)
Cookie
브라우저가 서버에 자동으로 보내는 작은 상태 정보
CSRF
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격
HSTS
브라우저에게 ‘앞으로는 무조건 HTTPS로만 접속하라’고 강제하는 보안 정책(Strict-Transport-Security)
HttpOnly
브라우저 JS에서 쿠키를 읽지 못하게 막는 쿠키 속성(주로 세션 보호)