코둥
160
2020-12-12 20:54:03
2
273

jwt access token과 refresh token 은 어디에 저장하죠?



response.addHeader("Authorization", "bearer " + token);

로 토큰을 저장했고

로그인 완료 후 main 으로 넘어갈 때  

BasicAuthenticationFilter 에 걸쳐서 

request.getHeader("Authorization")

해서 토큰 유효성 검사를 하려는데요.

이렇게 할 경우 null 이 뜨거든요ㅠㅠ 


방법이 잘못된거같은데

access token 은 어디에 저장해서 사용자에게 어떻게 받아서 검사하나요? 

쿠키에 저장하면 안된다하던데 ㅠㅠ 

0
  • 답변 2

  • 피자7
    637
    2020-12-12 21:34:26

    httponly 쿠키에 저장해요

  • 코둥
    160
    2020-12-14 16:05:15

    피자7 ㅠㅠ 


    1. 로그인 시 access/refresh 둘 다 발급 후 쿠키에 httponly 로 저장

    -> (1) 이럴 경우 access와 refresh 를 서버에서 req get Cookie 로 가져와서 유효성을 체크하나요?

    -->(1-1) header authorization 에 담아서 확인한다는데 이런 경우는 뭔가요 ?ㅠㅠ 

    -> (2) refresh 도 쿠키에 저장하고 유효기간을 길게 잡으면 refresh 가 탈취될 위험은 없는건가요?


    2. access 만료 시 사용자가 다시 refresh 요청하고 redis 와 cookie 의 refresh 를 비교 후 재발급

    -> (1) 만료 시 사용자에게 가지않고 바로 refresh 하는 방법은 별로인가요?

    -> (2) cookie 에 안담고 redis 에서만 refresh 를 처리할 순 없나요 ? 

  • 로그인을 하시면 답변을 등록할 수 있습니다.