IM: DAY

Authentication: DAY TWO 🔐

오늘

• 토큰기반 인증
• JWT (JSON Web Token)
• 프로젝트 자료조사

기억할 것

Bearer 란?

토큰은 요청 헤더의 authorization 필드에 담아져 보내진다.

authorization: <type> <credentials>

토큰에는 많은 종류가 있고 서버는 다양한 종류의 토큰을 처리하기 위해 전송받은 type에 따라 토큰을 다르게 처리한다.
Bearer는 위 형식에서 type에 해당하는 값이다.
"JWT 혹은 OAuth에 대한 토큰을 사용한다. (RFC 6750)"는 의미.

set-cookie로 설정된 쿠키 사용

set-cookie 헤더를 통해 클라이언트에 쿠키를 설정하면, 따로 설정하지 않아도 자동으로 다음 요청에 같이 포함된다.

cookie 옵션

res.cookie() 메서드를 사용해 cookie 옵션을 설정할 수 있다.

httpOnly: true 의 의미

옵션 중 httpOnly: true로 설정하면 웹 서버를 통해서만 cookie에 접근할 수 있도록 한다. 이처럼 쿠키가 HttpOnly 플래그와 함께 전송 된 경우 JavaScript와 같은 클라이언트 측 프로그램에 쿠키가 직접 표시되지 않는다. 결국 "HTTP가 아닌" API (예 : JavaScript)에서 쿠키에 액세스하는 방법은 없다.

sameSite

sameSite: Lax : sameSite가 아닐 경우, GET 요청만 가능하다. (원래는 None이 기본값이었는데, 얼마전부터 Lax가 기본값으로 바뀌었다.)
sameSite: Strict : sameSite가 아닐 경우, 쿠키 전송이 불가능하다.
sameSite: None : sameSite가 아니더라도 쿠키 전송이 가능하다. 이 경우 반드시 https 프로토콜을 사용해야 한다. 즉, cookie 옵션의 secure: true 를 반드시 설정해주어야 한다.

Credentials 설정

세션이 아니라도(예: 토큰 사용) 인증이 포함된 axios 요청 시 반드시 Credentials 설정을 해주어야 한다. 방법은 세션 인증시 Credentials 설정 방법과 동일하다.
참고 - session 인증이 들어간 axois 통신 사용 시 클라이언트와 서버 설정하기

내일

• Toy Problem
• OAuth
• AWS 가입

---

Reference

• token 관련 글
• set-cookie 관련 글