- 상태를 토큰에 두기
- 주로 JWT 활용
- 인증 로직 >> JWT 생성(access token, refresh token)
- 사용자가 이후 access token을 HTTP Header - Authorization 또는 HTTP Header - Cookie 에 담아 인증이 필요한 서버에 요청해 원하는 컨텐츠 가져옴
리프레시 토큰 이유
- 액세스 만료시 다시 얻기위해서
- 이를 통해 액세스 만료마다 인즈엥 관한 비용 준다
- 액세스 토큰 탈취시 걍 뚤리기에 액세스는 만료 기간 짧게하는게 안전
- ??? 그런데 리프레시를 탈취 당하면 ???
주의점
access 토큰 얻었다면 그 이후 요청할 때는 HTTP Header - Authorization or HTTP Header- Cookie 에 담아 요청하게 되는데 다음과 같은 규칙 지키는게 좋다
- Bearer {token} 양식 지켜서 토큰 기반 인증 방식이란거 알려 줘야됨
- HTTPS 써야됨
- 쿠키에 저장한다면 sameSite: ‘Strict’ 써야됨
- 수명이 짧은 access token발급해야됨
- url에 토큰 전달 말아야함