현재 프로젝트의 로그인 인증 인가를 jwt로 제작을 하고 있다.
근데 이 부분에서 조금 고민이 드는 것이 있는데...
어떻게 해야 더 안전하게 할 수 있을까? 라는 고민을 계속 하게 된다.
SameSite=None; Secure; httpOnly; 물론 이런 옵션이 존재하겠지만 그래도 고민이 든다.
그래서 지금 생각하는게 액세스 토큰을 15~30분으로 설정을 해놓고
리프레시 토큰을 DB에 저장을 해버린 다음 액세스 토큰이 끝나면 DB에서 조회를 해가지고 새로 재발급하고
로그아웃하면 DB에 설정되어있는 리프레시 토큰을 삭제하는 것을 생각해보고 있는데....
이게 괜찮은 선택인지 정말 모르겠어서 고민이 든다.
일단 리프레시 토큰의 시간 제한을 두지 않는 곳도 있다고 해서 그렇다면 DB에 넣어놓는 것이 의미가 있다고 생각하는데, 그렇다면 자동로그인 시스템은...어떻게 구현을 해야하는건지 고민이 들기도 하고
로그인을 내가 직접 구현하기로 해서, 많은 고민을 해보고 있는데 어떠한 방식이 더욱 더 안전한지 고민이다.
그냥 SameSite=None; Secure; httpOnly; 이옵션을 달면 쿠키가 외부에서 접근을 못하기에 안전한걸까! 라는 고민도 드는데 이걸 대답해줄 사람이 없기에 더더욱 , . . 고민이다 ㅠ ㅠ
물류 서비스 Backend Software Developer