안녕하세요 선배님들!
현재 spring security + jwt 를 구현해보는 중 BasicAuthenticationFilter 를 통해서 토큰이 유효한지와 로그인 유무 등을 체크하는 부분에서 막히는 부분이 있습니다.
페이지 이동 시에도 filter 를 걸치는데
이럴 경우 header Authorization 에 토큰을 담지 못해서 null 이 뜨는데 요런 경우는 어떻게 해결하나요? 혹은 처음부터 매요청 header에 담지 않고 저장된 쿠키를 사용해도 되나요?
추가로 refresh token 를 서버사이드에도 저장하고 클라이언트에도 저장하라는데 access token 처럼 refresh token 도 쿠키에 저장하게 되면 오래 노출되서 탈취될 수 있는거 아닌가요? ㅠㅠ 이부분에 대해 다들 어느식으로 하시는지 조언 부탁드립니다.