2024. 2. 8. 22:57ㆍ공부/내배캠 TIL
목차
학습이라 보기도 애매한 토막글입니다.
1. 학습 내용
세션 = 서버에서 정보 관리, 보안성은 좋지만 데이터가 많음
쿠키 = 데이터를 브라우저에서 관리, 보안성 안좋아짐
토큰 = 발급된 토큰을 유저가 저장, 서버에서 요청하면 보여줌. payload는 암호화 되지 않기 때문에 중요 정보는 못담음.
refresh token = 메모리 저장 or db저장 -> 보안!
※ 대부분의 상황에서(특히 웹개발) 세션보단 토큰이 좋다.(stateless) but 게임 (stateful) : 세션으로 관리.
토큰을 db에 저장하면?
-> OKKY - jwt refreshToken을 db에서 유지하는 이유가 궁금합니다.
-> JWT의 Refresh Token과 Access Token은 어디에 저장해야 할까? (tistory.com)
"Refresh Token 값을 DB에 저장하고, 클라이언트는 인덱스 값을 쿠키나 로컬 스토리지에 저장합니다. 쿠키에 저장하는 경우, 만료 기간을 길게 잡으면 충분히 끊임없이 로그인된 상태를 유지할 수 있습니다. 이렇게 하면 Refresh Token의 값을 노출시키지 않고 인덱스 값만 클라이언트에 노출되므로 보안상 더 안전하게 저장할 수 있습니다. 더 나아가 인덱스 값도 사용자의 아이디나 추가 값을 조합하여 해시로 생성하여 사용하면 보안 측면에서 더 유리합니다."
만약, access token의 탈취가 두려워 만든 refresh token이 탈취되는 것이 두렵다면?
[JWT] Access Token과 Refresh Token 그리고 RTR 기법에 대해서 알아보자. (tistory.com)
'공부 > 내배캠 TIL' 카테고리의 다른 글
| [Node.js_4기] TIL : 뉴스피드 프로젝트 회고 (24/02/14) (1) | 2024.02.15 |
|---|---|
| [Node.js_4기] TIL : Nodemailer (24/02/13) (0) | 2024.02.13 |
| [Node.js_4기] TIL : 뉴스피드 프로젝트 (24/02/07) (3) | 2024.02.08 |
| [Node.js_4기] TIL - 개인과제 정렬기능 리팩토링(24/02/05) (0) | 2024.02.05 |
| [Node.js_4기] node숙련주차 개인과제 (24/02/02) (0) | 2024.02.02 |