-
Notifications
You must be signed in to change notification settings - Fork 4
JWT
김무성 edited this page Dec 2, 2021
·
1 revision
https://donologue.tistory.com/397
현재는 로그인 성공시 accessToken과 refreshToken을 쿠키에 담아서 보냄
httponly라 클라에서 쿠키를 까볼수 없다.. 그래서 refreshToken이 쿠키에 계속 남아있음
그럼 굳이 access랑 같이 쓰는 이유는 뭐지? refreshToken이 오픈되면 어차피 access가 계속 바뀌어도 의미가 없다..
그럼 localStroage에 저장??
어차피 이래도 XSS 공격에 취약, 쿠키는 CSRF에 취약
그럼 숨겨야되는데??? 세션에 저장해서 보내준다??
그럼 세션을 쓰지 왜 jwt를 쓰나?ㅋㅋㅋㅋㅋㅋ
세션은 저장 인증 방식이라 redis를 쓰던가 db table을 하나 파야되지만 jwt는 비 저장 인증 방식이라 저장까지는 안해도 된다 라는게 의견
결론은 취향차이인듯