인증 토큰 관리
•
인증 토큰: accessToken + refreshToken
•
토큰 보안: 유효기간으로만 판단 (db에 따로 저장 x)
◦
accessToken: 30분
◦
refreshToken: 14일
•
토큰 전송: 쿠키
•
토큰 리프레쉬: RTR(accessToken 재발급 시점에 accessToken과 refreshToken 모두 재발급)
•
토큰 검증: secretKey로 판단
로그인
•
인증 정보: CI (Connectiong Information)
◦
사용자 개인 식별하고 인증하는, 충분히 보안강도가 큰 정보
◦
ID+PW 와 같은 역할
◦
카카오 로그인 시 받는 고정값
◦
[추후 도입] accessToken 받는 방식으로 변경 예정
권한
•
pr 참고
사견
•
보안은 공격하는 방법도 다양하지만 좋지 않은 방법도 다양하다. 그러면 최대한 쉽고 가성비가 좋은 방법을 선택한다. 대표적인 예가 접근 통제다.
•
코드는 필요한 것만 작성하고, 예측 가능한 것만 작성해야 유지보수와 보안 차원에서 유리하다.