jwt 인증 질문..
2. 1번질문과 연관된 질문입니다 Cookie의 HttpOnly 속성을 설정하게되면 document.cookie와 같은 자바스크립트로 쿠키를 조회하는 것을 막고 서버로 Http request 요청을 보낼때만 쿠키를 전송하는 걸로 알고 있는데요 쿠키 조회를 막는다면 요청헤더에 authorization 속성값으로 jwt 토큰을 넣어줄 때 쿠키에 담아둔 jwt 토큰값 조회가 필요할 거같은데 어떻게 꺼내서 사용하는 건가요? 혹시 개발코드는 접근이 가능하고 브라우저에서만 쿠키에 접근을 막는것인가요?? 3. 자동 로그아웃처리를 구현할때 토큰의 만료기한을 지정하는것인가요 아니면 쿠키의 만료기한을 지정하는 것인가요?? 4. 로그인유지라는 기능을 구현한다면 서버에서 jwt 토큰의 만료기한을 지정하지 않는건가요?? 그렇게되면 로그아웃 api 콜 하지 않고 클라이언트에서 쿠키만 삭제하였을때 서버에서 보관하는 리프래쉬 토큰을 어느시점에 지우게되는지 궁금합니다.
답변 1
1
1. jwt토큰은 쿠키에 안 담는 것이 좋습니다. 강좌 진행 후에 제 생각이 바뀌었습니다. 응답으로 온 토큰을 로컬스토리지에 저장 후 요청 보낼 때 헤더에 담는 게 낫습니다.
2. 브라우저에서는 접근이 안 되는데 프론트서버에서는 접근이 됩니다. 쿠키로 한다면 아예 굳이 넣을 필요가 없습니다.
3. 둘 다 정하시면 됩니다.
4. 만료기한을 정하지 않고요. 리프레시토큰에도 만료기한이 있어서 로그인 시 체크해서 재발급하는 로직을 추가하는게 좋습니다.
0
제로초님 답변 감사드립니다.
1번 답변에서 jwt 토큰을 쿠키에 안담는것이 좋은 이유에대해 알수 있을까요??
로컬스토리지에서는 xss 공갹에 취약하다고 알고있는데 제로초님의 생각이 바뀌신 이유가 궁금합니다!
넥스트 버젼 질문
0
90
2
로그인시 401 Unauthorized 오류가 뜹니다
0
104
1
무한 스크롤 중 스크롤 튐 현상
0
192
1
특정 페이지 접근을 막고 싶을 때
0
116
2
createGlobalStyle의 위치와 영향범위
0
102
2
인라인 스타일 리렌더링 관련
0
98
2
vsc 에서 npm init 설치시 오류
0
157
2
nextjs 15버전 사용 가능할까요?
0
166
1
화면 새로고침 문의
0
129
1
RTK에서 draft, state 차이가 있나요?
0
160
2
Next 14 사용해도 될까요?
0
455
1
next, node 버전 / 폴더 구조 질문 드립니다.
0
359
1
url 오류 질문있습니다
0
214
1
ssh xxxxx로 우분투에 들어가려니까 port 22: Connection timed out
0
391
1
sudo certbot --nginx 에러
0
1293
2
Minified React error 콘솔에러 (hydrate)
0
477
1
카카오 공유했을 때 이전에 작성했던 글이 나오는 버그
0
255
1
프론트서버 배포 후 EADDRINUSE에러 발생
0
337
1
npm run build 에러
0
525
1
front 서버 npm run build 중에 발생한 에러들
0
399
1
서버 실행하고 브라우저로 들어갔을때 404에러
0
350
2
css 서버사이드 랜더링이 적용되지 않아서 문의 드립니다.
0
290
1
팔로워 3명씩 불러오고 데이터 합쳐주는걸로 바꾸고 서버요청을 무한으로하고있습니다.
0
249
2
해시태그 검색에서 throttle에 관해 질문있습니다.
0
206
1