Vercel OIDC 발급자(`oidc.vercel.com`)가 커스텀 오디언스 클레임을 지원하기 시작했다. 기존 고정 오디언스(`https://vercel.com/{owner}`) 방식은 특정 제공자가 침해됐을 때 공격자가 동일 토큰으로 다른 서비스에 인증을 시도할 수 있었는데, 이제 배포마다 서드파티별 고유 `aud` 클레임을 설정해 토큰 격리가 가능하다.
핵심 포인트- 기존 고정 오디언스 취약점: 제공자 A 침해 시 공격자가 같은 토큰으로 제공자 B 인증 시도 가능 — 커스텀 `aud` 클레임으로 `aud` 불일치 검증 실패를 유도해 재사용을 차단한다
- 토큰 교환 흐름: Vercel 서명 원본 토큰을 교환 서비스가 수락 → 동일 키로 재서명하되 `aud` 클레임을 요청한 오디언스로 업데이트한 새 토큰 반환
- 교환 토큰은 프로젝트·환경·소유자·만료 등 원본 클레임 전체를 보존하며, `act` (행위자) 클레임을 추가해 감사 가능한 위임 체인을 기록한다
- `jti` (JWT ID) 옵션으로 교환 토큰에 고유 식별자를 부여해 서비스 간 토큰 사용 추적과 감사에 활용할 수 있다
- 다운스트림 서비스는 `https://oidc.vercel.com/{owner}/.well-known/jwks` 공개 키로 교환 토큰을 검증한다
왜 읽나Vercel 배포와 외부 클라우드 서비스를 OIDC로 연동할 때 커스텀 오디언스로 토큰 격리를 강화하려는 DevOps·보안 엔지니어에게 실용적인 레퍼런스.