2020 11 24 데일리스크럼
👜 금일 코어 타임 개인 스케줄
석주 - 5시40분 출근
상신 - 별일없음
- 석주 - 로그인페이지 만들기
- 상신 - Mobx 설정 및 리스트 백엔드로 가져오기
- 승환 - 드랍다운 만들기
- 예진 - 거래내역 추가하기
- koa-passport에서 깃헙 로그인을 지원해주지 않음.
- passport를 직접 구현하자!
- 문제점 :
- 기존에 하던 방식은 accessToken을 callback URL로 받으면 accessToken을 쿠키에 싣고 FE에 redirect하는 방식이었음.
- accessToken은 Authorization Header 에 넣어 보내는게 가장 안전한데 redirect를 하기 때문에 Header에 설정했던 정보가 사라지게 됨
-
이렇게 하는건 어떨까?
-
callback url로 전달된 code를 frontend로 보냄
-
code를 가지고 back에 access token을 요청(post)
-
front에 url로 code를 보내는 이유는?
token을 바로 넣으면, token이 노출되고 탈취될 위험이 있다. 따라서 code를 url로 전달하고, token은 code를 post 요청으로 보내서 가져오자!
-
-
localStorage? cookie?
-
local storage는 자바스크립트로 토큰 정보를 가져갈 수 있어서 위험하다. 토큰을 가져가서 다른 사람이 자신의 Local storage에 저장을 한다면, 백엔드에서는 토큰이 유저가 동일하다고 판단할 것이다.
→ JWT의 만료시간을 짧게하고, Refresh token으로 다시 접근을 할 수 있도록 한다.
-
cookie를 사용하면, httpOnly 를 설정하면, 자바스크립트로 접근을 하지 못한다.
-
- BE ↔ Git 사이의 인증 횟수 줄이자.
- JWT를 만들지 않고, access token을 넘겨주면, 요청이 올 때마다 깃헙으로 access token을 확인해줘야 한다.
- JWT를 백엔드에서 만들어서 프론트에 넘기면, 이후 요청이 올때마다 JWT를 확인하고 바로 프론트로 넘겨줄 수 있을 것이다.
- 단점: 같은 계정으로 중복 로그인을 막기가 까다롭다.
- FE에도 .env → BE_API_HOST 이런 것 넣게
- .env.production, .env.development로 따로 관리할 수 있다.
- CRA .env 다루는 참고자료