토큰 방식 / 보안 관련 회의
현재 토큰 인증 방식
현재 방식은 로그인을 하면 헤더에 Access_Token 과 Refresh_Token 을 실어서 보내줍니다. 프론트에서는 이를 받아 로컬 스토리지에 저장하고, 데이터를 요청할때 헤더에 두 토큰을 실어 보냅니다. 이후 서버에서 토큰을 검증하고, 토큰이 유효하면 요청한 데이터를 다시 보내고, 헤더에 또한 토큰을 같이 담아 전송합니다.
LocalStorage
로컬스토리지를 사용하는게 과연 안전한가? 라는 의문이 나왔습니다. 백엔드에서 쿠키에 실어서 보내주는게 좋을 것 같다는 의견이 나왔습니다.
웹소켓에서는?
현재 웹소켓 사용시 구독하고있는 페이지의 url 과, 질의 url 을 알면 로그인을 하지 않아도 사용할 수 있습니다. 이를 사용하는 페이지를 오기 위해서 로그인과 인증/인가 과정을 거치기 때문에 따로 절차를 지정하진 않았습니다만, 보안을 한층 더 높이기 위해서 다른 요청과 같이 인증/인가 절차를 밟아야 하나? 하는 의문이 듭니다!
위의 사항을 보고 괜찮은 방식이 있다면, 의견 남겨주세요! 날 잡아서 정하고 리팩토링 할
@신세인[졸업생 / 이탈리아어과]
•
프론트단에서 리액트 라이브러리 중 리액트 쿠키를 사용하면 프론트단에서 쿠키 사용을 할 수 있을 것 같습니다. 관련 자료 첨부합니다.