오늘 한 일
- 쿠키-세션 인증, 토큰 인증 방식
- 쿠키-세션 인증
- 과정
- Browser(User) -> Server 로그인 요청을 한다.
- server -> Database 세션을 생성해서 집어넣는다.
- server -> Browser(User) Set-Cookie header를 포함하여 응답을 보낸다.
- Browser(User) -> server 쿠키를 브라우저 저장소에 저장하고 쿠키를 보내며 재요청한다.
- User가 로그아웃하면 Database에서 Session을 삭제한다.
- 특징
- 완전 자동화 프로세스
- Single-Domain에서 동작
- 추가 데이터 저장에 가장 적합.
- API에 적합하지 않음
- XSS(Cross Site Scripting), CSRF(Cross Site Request Forgeries)에 취약
- 토큰(JWT:Json Web Tocken)인증
- 과정
- Browser(User) -> Server 로그인 요청을 한다.
- Server -> Browser(User) Server는 자격 증명을 확인하고 토큰을 생성하고 private key로 서명한다음 브라우저로 다시 보낸다.
- Browser(User) -> Server 브라우저 저장소에 토큰을 저장하고 후속 요청에 추가한다.
- 사용자가 로그아웃하면 저장소에서 토큰을 수동으로 삭제한다.
내일 할 일