반응형 쿠키로 상태 결정1 리프레시토큰 없이는 쿠키로 로그인상태결정을 못한다(보안포기하면 가능) 배포전에는 엑세스토큰을 쿠키에넣고 매번 쿠키를 검사하여 로그인상태를 결정했다. 그런데 쿠키 보안설정을 한 후 배포를 하고나서 이것저것 눌러보는데 새로고침할때마다 로긴상태가 초기화 되는 것이다! 면밀히 오랫동안 구글링을 하여 알아낸것은, 쿠키에 httpOnly:true를 설정했을때는 클라이언트에서 쿠키를 절.대 다룰 수 없다는 것이다. 때문에 보안은 강화되는 한편, 클라이언트에서 쿠키를 검사하여 로긴상태를 결정할 수 없게된다. 때문에 리프레시토큰을 가지고 새로고침을 할때마다 엑세스토큰을 만들고, 그 액세스토큰으로 로긴상태를 결정해야 한다. 즉, 리프레시토큰을 만들지 않을꺼면 애초에 쿠키에 토큰을 저장하는게 쓸모가 없다. httpOnly:true를 설정하지 않으면 자바스크립트에서 쿠키를 다룰 수 있지만, 자.. 2021. 12. 11. 이전 1 다음 반응형
