인프런 커뮤니티 질문&답변
작성한 질문수
jwt 인증 질문..
해결된 질문
작성
·
617
1
1. 쿠키는 모든 http 요청메시지에 포함되어서 보내지게 되는데 jwt 토큰을 쿠키에 보관한다면 매 요청마다 jwt토큰값이 서버로 넘어가는건데 그렇다면 왜 따로 쿠키에 담긴 jwt 토큰값을 꺼내서 http request header의 authorization속성에 담아 보내는 것인지 궁금합니다
2. 1번질문과 연관된 질문입니다 Cookie의 HttpOnly 속성을 설정하게되면 document.cookie와 같은 자바스크립트로 쿠키를 조회하는 것을 막고 서버로 Http request 요청을 보낼때만 쿠키를 전송하는 걸로 알고 있는데요 쿠키 조회를 막는다면 요청헤더에 authorization 속성값으로 jwt 토큰을 넣어줄 때 쿠키에 담아둔 jwt 토큰값 조회가 필요할 거같은데 어떻게 꺼내서 사용하는 건가요? 혹시 개발코드는 접근이 가능하고 브라우저에서만 쿠키에 접근을 막는것인가요?? 3. 자동 로그아웃처리를 구현할때 토큰의 만료기한을 지정하는것인가요 아니면 쿠키의 만료기한을 지정하는 것인가요?? 4. 로그인유지라는 기능을 구현한다면 서버에서 jwt 토큰의 만료기한을 지정하지 않는건가요?? 그렇게되면 로그아웃 api 콜 하지 않고 클라이언트에서 쿠키만 삭제하였을때 서버에서 보관하는 리프래쉬 토큰을 어느시점에 지우게되는지 궁금합니다.
2. 1번질문과 연관된 질문입니다 Cookie의 HttpOnly 속성을 설정하게되면 document.cookie와 같은 자바스크립트로 쿠키를 조회하는 것을 막고 서버로 Http request 요청을 보낼때만 쿠키를 전송하는 걸로 알고 있는데요 쿠키 조회를 막는다면 요청헤더에 authorization 속성값으로 jwt 토큰을 넣어줄 때 쿠키에 담아둔 jwt 토큰값 조회가 필요할 거같은데 어떻게 꺼내서 사용하는 건가요? 혹시 개발코드는 접근이 가능하고 브라우저에서만 쿠키에 접근을 막는것인가요?? 3. 자동 로그아웃처리를 구현할때 토큰의 만료기한을 지정하는것인가요 아니면 쿠키의 만료기한을 지정하는 것인가요?? 4. 로그인유지라는 기능을 구현한다면 서버에서 jwt 토큰의 만료기한을 지정하지 않는건가요?? 그렇게되면 로그아웃 api 콜 하지 않고 클라이언트에서 쿠키만 삭제하였을때 서버에서 보관하는 리프래쉬 토큰을 어느시점에 지우게되는지 궁금합니다.
답변 1
1
제로초(조현영)
지식공유자
1. jwt토큰은 쿠키에 안 담는 것이 좋습니다. 강좌 진행 후에 제 생각이 바뀌었습니다. 응답으로 온 토큰을 로컬스토리지에 저장 후 요청 보낼 때 헤더에 담는 게 낫습니다.
2. 브라우저에서는 접근이 안 되는데 프론트서버에서는 접근이 됩니다. 쿠키로 한다면 아예 굳이 넣을 필요가 없습니다.
3. 둘 다 정하시면 됩니다.
4. 만료기한을 정하지 않고요. 리프레시토큰에도 만료기한이 있어서 로그인 시 체크해서 재발급하는 로직을 추가하는게 좋습니다.
제로초님 답변 감사드립니다.
1번 답변에서 jwt 토큰을 쿠키에 안담는것이 좋은 이유에대해 알수 있을까요??
로컬스토리지에서는 xss 공갹에 취약하다고 알고있는데 제로초님의 생각이 바뀌신 이유가 궁금합니다!