- HttpOnly 쿠키란?
특수 플래그가 설정된 쿠키로, JavaScript(document.cookie)로 접근할 수 없음
오직 HTTP 요청을 통해서만 서버로 전송됨
서버에서 Set-Cookie 헤더에 HttpOnly 플래그를 추가하여 설정
Set-Cookie: authToken=abc123; HttpOnly; Secure; SameSite=Strict; Path=/; Max-Age=3600-
동작 방식
로그인 과정:
사용자가 인증 정보(아이디/비밀번호) 제출
서버에서 인증 정보 검증 후 JWT 생성
서버가 응답에 Set-Cookie 헤더로 HttpOnly 쿠키 설정
브라우저는 이 쿠키를 저장하고 이후 모든 요청에 자동 포함API 요청 시:
브라우저가 자동으로 요청 헤더에 쿠키 포함
서버는 쿠키에서 JWT 추출하여 검증
인증된 요청이면 요청 처리 후 응답
개발이 곧 나를 만든다.