📌오늘한 일
- 토큰이랑 시크릿 키에 대해 많이 찾아봤다.
우리조는 Access Token은 1시간 단위로 만료, Refresh Token은 14일 단위로 만료가 되도록 구현했다. 이것으로는 보안에 취약하다고 느껴 각각의 토큰오 반으로 쪼개서 전달 받기로 하였다.
그 결과 이전에는 볼 수 없던 코드가 탄생했다.
import {getCookie} from "./Cookie";
export const is_Login = () => {
const token1 = getCookie("_1")
const token2 = getCookie("_2")
const token3 = getCookie("_3")
const token4 = getCookie("_4")
if(token1 && token2 && token3 && token4){
return true;
}else{
return false;
}
}개발자 도구에 들어가 보면 access token, refresh token이라는 단어가 사용되지 않아 이것이 토큰인지 인지하기 어렵게 된다.
꼭 이렇게 해야한다는 아니지만 우리는 어느게 짝을 이루는지 알 수 없게 만들어 해커가 토큰을 아예 유추하지 못하도록 하고 싶었다.
새로운 도전이었다
📌참고자료
CORS: https://evan-moon.github.io/2020/05/21/about-cors/
여러 로그인 처리 방법(feat. httponly) : https://velog.io/@yaytomato/프론트에서-안전하게-로그인-처리하기
CSRF: https://velog.io/@ikswary/JWT의-보안적-고려사항
JWT 토큰 쿠키에 저장하기 : https://sjquant.tistory.com/22
꾸준히 꼼꼼하게 ✉ Email: jjy306105@gmail.com