해결된 질문
작성
·
389
0
안녕하세요 강사님 simple-jwt를 이용하여 수업진행을 하고 있습니다.
simple-jwt의 accessToken이 만료되었을때 refreshToken을 이용하여 토큰을 재발급을 할 수 있다고 구글링을 통해서 알게 되었는데요. verify를 통해 검증을 한 후, accessToken이 만료가 되었다면, refreshToken을 이용하여 재발급을 진행해보려합니다.
여기서 의문점이 생긴게, accessToken과 refreshToken을 둘 다 로컬 스토리지에 저장하게되면 문제가 있을까요?로컬 스토리지에 저장하여 개발하는 것이 안좋다면, 로그인 했을 때 함께 넘어오는 refreshToken은 어떻게 관리하는게 좋을까요??
답변 1
1
안녕하세요.
절대적으로 안전한 영역이란 없고, 서버와 연계해서 안전하게 인증을 처리할 방법을 끊임없이 고민하고 개선해야합니다. 웹프론트엔드 단에서 토큰은 로컬스토리지나 http only 쿠키에 저장합니다. 둘 다 장단점이 있구요. 제가 로컬스토리지에 저장한 것은 직접 토큰을 API 활용에 사용하는 것을 보여드리기 위함이고, 쿠키에 저장하는 쪽도 고민해보세요.
jwt 관련하여 다양한 견해와 전략이 있는 데, 아래와 같은 포스팅들도 한 번 살펴보시면 어떨까요?
좋은 질문 감사드리고, 화이팅입니다~! :-)