LEO Devlog LEO Devlog

쿠키 ✔️ 서버가 클라이언트 (브라우저)에게 일방적으로 주는 것 HTTP Response (응답코드, 헤더, 바디 중 헤더에 set-cookie) 각 옵션의 의미 domain: 같은 사이트 path: 같은 경로 / httpOnly: 자바스크립트 사용 여부 maxAge, Expires: 만료 기간 설정 sameSite: 3rd-cookie LAX: 3rd-party가 GET일 때만 허용 STRICT: 3rd-party 쿠키 차단 none: 적용 안함 (https일 때만 가능) secure: HTTPS에 쿠키를 전달 여부 쿠키의 인증 상 한계 MaxAge or Expires, HttpOnly, SameSite 등 각종 옵션들을 이용해 XSS, CSRF 등의 공격에 대비할 수 있는 방법이 있기는 하지만 결국..

세션 서버가 Client에 유일하고 암호화된 ID를 부여 중요 데이터는 서버에서 관리 설명 접속 상태 저장 경로 장점 단점 Cookie 쿠키는 단지 http의 stateless한 것을 보완해주는 도구 클라이언트 서버에 부담을 덜어준다. 쿠키 그 자체는 인증이 아니다. Session 접속 상태를 서버가 가짐(stateless) 접속 상태와 권한 부여를 위해 세션아이디를 쿠키로 전송 서버 신뢰할 수 있는 유저인지 서버에서 추가로 확인 가능 하나의 서버에서만 접속 상태를 가지므로 분산에 불리 토큰 세션기반 인증 = 서버(혹은 DB)에 유저 정보를 담는 방식 "이 부담을 클라이언트에게 넘겨줄 수 없을까?"에서 고안 대표적인 토큰 기반 인증 -> JWT(JSON Web Token) 토큰은 마패로 생각하자! (복잡..