Knowledge/- Security1 jwt, oauth 2.0, OpenID Connect 공부 로그인 상태를 유지하기 위해서 jwt의 만료에 따라 refresh token을 해주어야 한다는 것을 알게 되었다. passport google strategy를 보니 access token 과 refresh token을 전혀 사용안했었는데 있었던 이유를 알게 되었다. 그래서 자세히 정리해보려 한다. request는 stateless이기 때문에 서버는 누가 요청을 보내는지 모르기 때문에 세션DB에 user_id가 저장되어 있는 세션ID가 담긴 쿠키를 클라이언트에게 발급한다. 서버는 쿠키가 들어오는 것을 확인해 세션ID를 deserialize 후 서버는 user_id가 무엇인지 알아낸다. 서버는 user_id를 가지고 요청을 처리후 응답을 한다. 쿠키는 그저 세션 ID를 전달하기 위한 수단(매개체)일 뿐이다.. 2022. 10. 3. 이전 1 다음