1)https://velog.io/@tlatldms/%EC%84%9C%EB%B2%84%EA%B0%9C%EB%B0%9C%EC%BA%A0%ED%94%84-Refresh-JWT-%EA%B5%AC%ED%98%84
2)https://velog.io/@ehdrms2034/Spring-Security-JWT-Redis%EB%A5%BC-%ED%86%B5%ED%95%9C-%ED%9A%8C%EC%9B%90%EC%9D%B8%EC%A6%9D%ED%97%88%EA%B0%80-%EA%B5%AC%ED%98%84
3)https://cordingmonster.tistory.com/103
4)https://brorica.tistory.com/entry/localhost%EC%97%90%EC%84%9C-httpOnly-cookie-%EC%83%9D%EC%84%B1?category=949090
https://guiyomi.tistory.com/m/99 가 정리해주신 내용 (아래 글)
Access Origin 설정을 *로 하지 않은 이유
withCredentials 을 쓴다는 것은 서로 다른 domain이어도 쿠키를 저장한다는 표시이다.
그렇다면 서버와 client는 httpOnly cookie를 주고받을 대상을 명확히 해야 한다.
근데 이게 어쩔 수 없는게 *로 주면 CORS 에러 난다.
또한, 단순히 Access-Control-Allow-Origin 헤더만 지정해 주는게 아니라
withCredentials 을 사용한다는 헤더 또한 보내야 한다.
이것 역시 없다면 CORS 에러가 난다.
최종 flow는 아래 그림과 같다.
