Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- JS
- 정보처리기사 실기
- 자바스크립트
- spring
- VUE
- spring boot security
- JavaScript
- 큐넷
- Front-End
- It
- TypeScript
- useState
- Redux
- 리액트
- 백엔드
- React
- 수제비
- 스프링부트
- 프론트엔드
- 백엔드개발자
- security
- JWT
- frontend
- 정보처리기사
- 타입스크립트
- TS
- Node.js
- spring boot
- 웹개발자
- Authentication
Archives
- Today
- Total
목록xxs (1)
솔적솔적
결국 그렇게 저장했는가, 그에 따른 보안은 안전한가(브라우저 저장소 결정2편)
웹에서 '로그인 상태 유지' 또는 '자동 로그인' 기능을 구현할 때어느 저장소에 무엇을 두느냐는 보안, 편의성 균형의 문제다. 1편에서 저장소 종류와 특성을 정리했다면2편에서는 공격 벡터인 XXS/CSRF를 기준으로 실전 방어법과설계 패턴을 이리저리 생각하고 구글링한 결과를 정리해볼 예정이다. (*이건 그저 구현하며 저의 생각을 정리하는 내용이지 정답은 아닙니다.)- Access Token, Refresh Token 같은 것은가능한 클라이언트쪽에서 JS접근 불가한 HttpOnly 쿠키 + Secure + SameSite 설정으로 관리하는 것으로하는 것이 좋다생각한다.- Access Token은 가능한 **메모리(짧은 수명)**에서 관리하고 필요 시 refresh cookie로 재발급한다.- 비민감..
카테고리 없음
2024. 10. 22. 19:11