토큰 관리 방안
Closed this issue · 1 comments
airHalfSoundHalf commented
문제
- 기존에 쿼리 파라미터를 통해 프론트에서 토큰을 가져와 저장하는 방식이였지만, 쿼리 파라미터의 CSRF 공격에 취약할 뿐만아니라 토큰을 브라우저에 서식하고 접근할 수 있다는 것에서의 위험성 우려
진행
- 토큰값을 브라우저가 아닌 서버에서 관리하여 보안성 강화
airHalfSoundHalf commented
[이슈 종료]
- 리프레시 토큰을 세션 쿠키로, 액세스 토큰을 body로 내려주면, 프론트엔드에서 헤더로 바로 주입해서 API 요청 콜(리프레시 토큰은 서버에서 관리하고, 액세스 토큰은 프론트엔드에서 존재하고 있지 않기 때문에 탈취 위험성 제거)