access token을 쿠키에 저장하는 작업은 프론트/백 어디서 해야 하나요?

Question

안녕하세요. 사이드 프로젝트 리팩토링을 하는 중에 궁금한점이 생겨 질문 올립니다.

지금은 로그인 시 rt를 쿠키에 저장(백엔드에서), at를 로컬스토리지에 저장(프론트에서)하고 있습니다.

프론트측에선 api를 호출할 때마다 로컬스토리지에 있는 at를 꺼내서 fetch옵션에 전달해주는 작업을 하고 있어요.

그런데 서버 컴포넌트에서 api를 호출하려고 하니 로컬스토리지에 접근하지 못하는 문제가 있더라구요.

결국 at를 로컬스토리지가 아닌 쿠키에 저장하는 방식으로 변경하기로 했는데

이럴경우 at를 쿠키에 저장하는 작업을 백엔드와 프론트엔드 중 어느쪽에서 수행해야 하나요?

아니면 혹시 쿠키에 저장하는 방법 말고도 더 좋은 방법이 있을까요..?

김태우 · Answer

액세스 토큰은 클라이언트가 쉽게 접근할 수 있는 로컬 스토리지와 같은 저장소에 저장하지 않는 것이 좋습니다!

일반적으로 쿠키에 담아 보관하고 프론트 측에서는 따로 해줄 것이 없습니다.
프론트에서 요청을 보낼 때마다 자동으로 쿠키가 넘어가고 백에서 쿠키에 접근할 수 있기 때문이죠!

다른 방법에는 세션 기반 인증이라는 것이 있습니다. 이에 대해 알아보시길 바랍니다!