끄적끄적

refreshToken 저장위치와 형태 고민

RefreshToken의 저장 위치(LocalStorage vs Cookie) LocalStorage - 장점: 편리성 - 단점: XSS 취약 쿠키 (httpOnly + secure) - 장점: XSS에 다소 강함(httpOnly + secure) - 단점: CSRF에 취약 결정 hyper-link(통합플랫폼)에서는 refreshToken을 쿠키에 저장하기로 결정했다. 왜냐하면 httpOnly와 secure 옵션을 주면 XSS에 LocalStorage보다 상대적으로 덜 취약하기 때문이다. 물론 쿠키는 CSRF에 취약하다는 단점이 존재한다. 하지만 우리가 저장하는 것은 refreshToken이다. CSRF 공격이 오더라도, refreshToken만을 가지고는 비지니스 데이터에 영향을 줄 수 없다. 왜냐하..

인증 방식 고민(SlidingSession VS RefreshToken)

AccessToken만 사용 짧은 만료 시간: 장점: 토큰 탈취당해도 빠르게 만료 가능 단점: 사용자가 자주 로그인 해야함(불편함) 긴 만료 시간: 장점: 사용자가 로그인 자주할필요X(편함) 단점: 토큰 탈취시 오랫동안 제약없이 사용 Sliding Sessions + AccessToken AccessToken을 가진 클라이언트의 요청에 대해 서버가 새로운 AccessToken을 발급해주는 방법 (요청때마다 새롭게 AccessToken 발급) 장점: 로그인을 자주 할 필요 X 글을 작성, 결제 등 세션 유지가 필요한 순간에 세션 만료 문제를 방지 단점: 접속이 주로 단발성으로 이루어지는 서비스의 경우효과가 크지 않음 긴 만료 시간을 갖는 AccessToken 사용하는 경우, 로그인을 전혀 하지 않아도 되는..

2022.12.18 블로그 변경

이전 블로그는 github.io였다. 그때 당시 나의 블로그 개설 목적은 공부한 내용 정리와 취업의 유리함이었다. 글을 적을때 마다 github에 잔디가 심어져서 성실함을 취업시에 어필하고자 했다. 하지만 아무리 공부한 내용을 정리하고 다듬어 보아도 나의 글솜씨로는 한 번에 완벽한 글을 작성할 수는 없었다. 그렇다고 초안만 작성하고 나중에 고치려고하니, 작은 수정에도 커밋이 잡히는 번거로움이 존재했다. 그래서 부담없이 퇴고할 수 있고, 관리하기도 비교적 간편한 티스토리로 블로그를 이전하게 되었다. 복기와 퇴고가 생활인 나에게는 아무래도 티스토리가 제격인 것 같다. 이제부터 내수준에서 내가 돌아봤을 때 이해할 수있는 수준으로 글을 차근차근 작성해나가려 한다. 다른 블로그들처럼 대단한 내용과 짜임새 있는 글..