엑세스 토큰 재발급 API를 호출하니 접근 권한이 없다는 에러 응답을 받았다.
백에서는 로그를 보니 검증 시 비교할 CSRF Token이 없어서 검증 실패했다고 떴다고 한다.
프론트에서 CSRF 토큰이란걸 받고 어찌 저찌 하는건가..?
잘 모르겠지만 아무튼 프론트 서버랑 백 서버가 분리된 경우 검증 로직이 좀 복잡해진다고 한다.
이 블로그에 의하면, 쿠키를 쓴다면 httpOnly 설정과 CSRF Token을 사용하면 되고, 만약 CSRF Token을 쓰는 로직이 좀 복잡하다면, 쿠키로 토큰을 보내지 않는다면 CSRF를 꺼도 되고(프론트 서버와 백 서버가 분리된 경우 서버는 무상태성이기 때문), 쿠키로 토큰을 보내야한다면 samesite를 lax 등으로 설정해두면 되는 듯 하다.
일단 로컬 환경에서는 로컬 스토리지로 테스트하고 있기 때문에 CSRF 설정을 꺼두기로 했다.
PS, 풀스택, 앱 개발, 각종 프로젝트 내용 정리 (https://github.com/minsu-cnu)