로그인 사용자 인증 로직

사용자가 인증 되었다 → 토큰이 유효하다.(Access Token)

사용자가 매번 로그인을 하지 않아도 자동으로 로그인이 되도록 Access Token을 도입함.

보안을 위해서 Access Token의 유효기간을 짧게 설정함. 이를 보안하기 위해 Refresh Token을 도입하여 Access Token을 자동으로 재발급하도록 함.

클라이언트

• Access Token을 자바스크립트 in-memory에 저장한다.
• Refresh Token은 HTTP Only 쿠키에 저장한다.

서버 → 클라이언트

• Access Token은 payload를 통해 보낸다.
• Refersh Token은 HTTP Only 쿠키를 통해 보낸다.

클라이언트 → 서버

• Access Token은 Authorization Header에 포함해서 보낸다. (Bearer token)
• Refersh Token은 HTTP Only 쿠키를 통해 보낸다.

기본 동작 방식

1. 클라이언트는 Login API의 payload를 통해 액세스 토큰을 발급받는다.
2. 클라이언트는 액세스 토큰을 authorization header에 붙여 HTTP 요청을 한다.