[sakd.uk 이슈노트] JWT 보안 - 1 - 토큰 저장
2025.04.01
TL;DR정답은 없다.개인적으로 권장하는 방법은 AccessToken은 비공개 변수로, RefreshToken은 Cookie로 저장.Cookie는 secure, httpOnly 등의 설정을 적용하여 XSS 공격을 방지. 보다 안전하게 사용하기JWT를 구현하는 글은 여기저기 있고, 발급한 토큰을 어떻게 관리할지에 대한 고민을 적어보려고 합니다.사용자의 편의성과 보안 사이에서 균형을 잡는건 항상 어려운 일입니다. 토큰 인증 방식은 편리하지만 토큰이 탈취된다면 이를 즉시 조치하기가 어렵다는 단점도 존재합니다.따라서 안전하게 보관하는 것이 중요합니다. 웹 클라이언트에서 토큰을 보관할 수 있는 대표적인 장소를 비교해보겠습니다. JavaScript 변수LocalStorageCookie새로고침 후 유지되는가휘..