개발자
JWT 토큰 중 accessToken은 어디에 보관하는 것이 좋을까요?
2024년 04월 03일•조회 335
안녕하세요 jwt 토큰 보관에 대해 질문 있습니다. 원래는 accessToken은 로컬스토리지에, refreshToken은 httponly cookie로 보관하려 했습니다. 하지만 accessToken을 로컬스토리지로 보관하면 XSS 공격에 취약하다라는 단점 때문에 로컬 변수를 사용하라는 글도 종종 보이더라구요. 어떤 방식을 사용하는게 좋은 방법일까요? 퍼널 형식의 웹페이지며, 이메일 인증을 통해 토큰을 발급합니다. acceToken의 만료 시간은 30분정도로 생각중입니다.
이 질문이 도움이 되었나요?
'추천해요' 버튼을 누르면 좋은 질문이
더 많은 사람에게 노출될 수 있어요.
'보충이 필요해요' 버튼을 누르면 질문자에게
질문 내용 보충을 요청하는 알림이 가요.
익명님의 질문
답변 1
저는 개인 프로젝트에서는 개발을 쉽게 하려고 로컬 스토리지에 저장하지만 실무에서 보았던 경험은 Reddis같은 인메모리 형태로 저장하는 것을 많이 보았습니다 DB에 저장할 수도 있지만 디스크 IO의 경우 동시 접속자가 많은 경우에는 서버에 부하를 줄 수 있어서 상황을 보고 선택하시는게 좋으실 듯 합니다
지금 가입하면 모든 질문의 답변을 볼 수 있어요!
현직자들의 명쾌한 답변을 얻을 수 있어요.
이미 회원이신가요?
지금 가입하면 모든 질문의 답변을 볼 수 있어요!