토큰 관리

카카오 API를 활용하여 다양한 어플리케이션을 개발해보세요. 카카오 로그인, 메시지 보내기, 친구 API, 인공지능 API 등을 제공합니다.

네이버 로그인 개발가이드 1. 개요 2. 네이버 로그인 서비스 소개 2.1 네이버 로그인 서비스에 대하여 2.2 제공하는 기능 2.2.1 소셜 로그인 2.2.2 로그인 연동 회원 프로필 조회 2.2.3 네이버의 로그인 오픈API 이용 2.2.4 서비스 이용 통계

Access Token과 달리 Refresh 토근만 가지고 데이터를 가져올 수 없으므로

secure httpOnly 쿠키 정도로 저장하는 것은 괜찮아보임.

아래의 링크에서 토큰을 통한 api 보호 전략을 살펴볼 수 있다.

Refresh token, Access token, Sliding Sessions

프론트엔드에서는 토큰을 어떻게 관리해야할지 고민..

Access Token

해당 토큰만으로 api를 호출하여 유효한 정보를 받을 수 있음.

1.

로컬 스토리지로 관리

반대. (사용하면 안된다는 입장)

브라우저가 안전하다고 확정지을 수 없다. (공용pc, 취약 브라우저 접속)

쉽게 열어볼 수 있다.

창을 닫아도 지속적으로 유지된다.

2.

세션 스토리지로 관리

반대.

위 이유와 비슷

실수로 닫을 경우 로그인을 다시 해야함.

3.

쿠키로 관리

XSS 공격에 취약하다.

CSRF 공격에 취약하다.

4.

secure httpOnly 쿠키

XSS 방어가능

단 CSRF 공격에 취약하다.

5.

웹내 로컬변수, 상태로 관리

XSS 방어가능

단 CSRF 공격에 취약하다.

Refresh Token

access token이 특정 기간 이하일 때만 재 발급 가능하도록 설정한다.

접근 토큰이 만료가 된 경우 접근 토큰과 함께 발급받은 갱신 토큰 (refresh token)을 이용하여 유효한 접근토큰을 재발급 받을 수 있다.

로직 검사 포함한다. (인증의 유저가 다른 유저의 정보를 요청하는 경우 차단)

카카오/네이버/ refresh token

카카오 API를 활용하여 다양한 어플리케이션을 개발해보세요. 카카오 로그인, 메시지 보내기, 친구 API, 인공지능 API 등을 제공합니다.

네이버 로그인 개발가이드 1. 개요 2. 네이버 로그인 서비스 소개 2.1 네이버 로그인 서비스에 대하여 2.2 제공하는 기능 2.2.1 소셜 로그인 2.2.2 로그인 연동 회원 프로필 조회 2.2.3 네이버의 로그인 오픈API 이용 2.2.4 서비스 이용 통계

Access Token과 달리 Refresh 토근만 가지고 데이터를 가져올 수 없으므로

secure httpOnly 쿠키 정도로 저장하는 것은 괜찮아보임.

아래의 링크에서 토큰을 통한 api 보호 전략을 살펴볼 수 있다.

Refresh token, Access token, Sliding Sessions

프론트엔드에서는 토큰을 어떻게 관리해야할지 고민..

Access Token

해당 토큰만으로 api를 호출하여 유효한 정보를 받을 수 있음.

1.

로컬 스토리지로 관리

반대. (사용하면 안된다는 입장)

브라우저가 안전하다고 확정지을 수 없다. (공용pc, 취약 브라우저 접속)

쉽게 열어볼 수 있다.

창을 닫아도 지속적으로 유지된다.

2.

세션 스토리지로 관리

반대.

위 이유와 비슷

실수로 닫을 경우 로그인을 다시 해야함.

3.

쿠키로 관리

XSS 공격에 취약하다.

CSRF 공격에 취약하다.

4.

secure httpOnly 쿠키

XSS 방어가능

단 CSRF 공격에 취약하다.

5.

웹내 로컬변수, 상태로 관리

XSS 방어가능

단 CSRF 공격에 취약하다.

Refresh Token

access token이 특정 기간 이하일 때만 재 발급 가능하도록 설정한다.

접근 토큰이 만료가 된 경우 접근 토큰과 함께 발급받은 갱신 토큰 (refresh token)을 이용하여 유효한 접근토큰을 재발급 받을 수 있다.

로직 검사 포함한다. (인증의 유저가 다른 유저의 정보를 요청하는 경우 차단)

카카오/네이버/ refresh token

카카오 API를 활용하여 다양한 어플리케이션을 개발해보세요. 카카오 로그인, 메시지 보내기, 친구 API, 인공지능 API 등을 제공합니다.

네이버 로그인 개발가이드 1. 개요 2. 네이버 로그인 서비스 소개 2.1 네이버 로그인 서비스에 대하여 2.2 제공하는 기능 2.2.1 소셜 로그인 2.2.2 로그인 연동 회원 프로필 조회 2.2.3 네이버의 로그인 오픈API 이용 2.2.4 서비스 이용 통계

Access Token과 달리 Refresh 토근만 가지고 데이터를 가져올 수 없으므로

secure httpOnly 쿠키 정도로 저장하는 것은 괜찮아보임.

아래의 링크에서 토큰을 통한 api 보호 전략을 살펴볼 수 있다.

Refresh token, Access token, Sliding Sessions

프론트엔드에서는 토큰을 어떻게 관리해야할지 고민..

Access Token

해당 토큰만으로 api를 호출하여 유효한 정보를 받을 수 있음.

1.

로컬 스토리지로 관리

반대. (사용하면 안된다는 입장)

브라우저가 안전하다고 확정지을 수 없다. (공용pc, 취약 브라우저 접속)

쉽게 열어볼 수 있다.

창을 닫아도 지속적으로 유지된다.

2.

세션 스토리지로 관리

반대.

위 이유와 비슷

실수로 닫을 경우 로그인을 다시 해야함.

3.

쿠키로 관리

XSS 공격에 취약하다.

CSRF 공격에 취약하다.

4.

secure httpOnly 쿠키

XSS 방어가능

단 CSRF 공격에 취약하다.

5.

웹내 로컬변수, 상태로 관리

XSS 방어가능

단 CSRF 공격에 취약하다.

Refresh Token

access token이 특정 기간 이하일 때만 재 발급 가능하도록 설정한다.

접근 토큰이 만료가 된 경우 접근 토큰과 함께 발급받은 갱신 토큰 (refresh token)을 이용하여 유효한 접근토큰을 재발급 받을 수 있다.

로직 검사 포함한다. (인증의 유저가 다른 유저의 정보를 요청하는 경우 차단)

카카오/네이버/ refresh token

카카오 API를 활용하여 다양한 어플리케이션을 개발해보세요. 카카오 로그인, 메시지 보내기, 친구 API, 인공지능 API 등을 제공합니다.

네이버 로그인 개발가이드 1. 개요 2. 네이버 로그인 서비스 소개 2.1 네이버 로그인 서비스에 대하여 2.2 제공하는 기능 2.2.1 소셜 로그인 2.2.2 로그인 연동 회원 프로필 조회 2.2.3 네이버의 로그인 오픈API 이용 2.2.4 서비스 이용 통계

Access Token과 달리 Refresh 토근만 가지고 데이터를 가져올 수 없으므로

secure httpOnly 쿠키 정도로 저장하는 것은 괜찮아보임.

아래의 링크에서 토큰을 통한 api 보호 전략을 살펴볼 수 있다.

Refresh token, Access token, Sliding Sessions

프론트엔드에서는 토큰을 어떻게 관리해야할지 고민..

Access Token

해당 토큰만으로 api를 호출하여 유효한 정보를 받을 수 있음.

1.

로컬 스토리지로 관리

반대. (사용하면 안된다는 입장)

브라우저가 안전하다고 확정지을 수 없다. (공용pc, 취약 브라우저 접속)

쉽게 열어볼 수 있다.

창을 닫아도 지속적으로 유지된다.

2.

세션 스토리지로 관리

반대.

위 이유와 비슷

실수로 닫을 경우 로그인을 다시 해야함.

3.

쿠키로 관리

XSS 공격에 취약하다.

CSRF 공격에 취약하다.

4.

secure httpOnly 쿠키

XSS 방어가능

단 CSRF 공격에 취약하다.

5.

웹내 로컬변수, 상태로 관리

XSS 방어가능

단 CSRF 공격에 취약하다.

Refresh Token

access token이 특정 기간 이하일 때만 재 발급 가능하도록 설정한다.

접근 토큰이 만료가 된 경우 접근 토큰과 함께 발급받은 갱신 토큰 (refresh token)을 이용하여 유효한 접근토큰을 재발급 받을 수 있다.

로직 검사 포함한다. (인증의 유저가 다른 유저의 정보를 요청하는 경우 차단)

카카오/네이버/ refresh token

카카오 API를 활용하여 다양한 어플리케이션을 개발해보세요. 카카오 로그인, 메시지 보내기, 친구 API, 인공지능 API 등을 제공합니다.

네이버 로그인 개발가이드 1. 개요 2. 네이버 로그인 서비스 소개 2.1 네이버 로그인 서비스에 대하여 2.2 제공하는 기능 2.2.1 소셜 로그인 2.2.2 로그인 연동 회원 프로필 조회 2.2.3 네이버의 로그인 오픈API 이용 2.2.4 서비스 이용 통계

Access Token과 달리 Refresh 토근만 가지고 데이터를 가져올 수 없으므로

secure httpOnly 쿠키 정도로 저장하는 것은 괜찮아보임.

아래의 링크에서 토큰을 통한 api 보호 전략을 살펴볼 수 있다.

Refresh token, Access token, Sliding Sessions

프론트엔드에서는 토큰을 어떻게 관리해야할지 고민..

Access Token

해당 토큰만으로 api를 호출하여 유효한 정보를 받을 수 있음.

1.

로컬 스토리지로 관리

반대. (사용하면 안된다는 입장)

브라우저가 안전하다고 확정지을 수 없다. (공용pc, 취약 브라우저 접속)

쉽게 열어볼 수 있다.

창을 닫아도 지속적으로 유지된다.

2.

세션 스토리지로 관리

반대.

위 이유와 비슷

실수로 닫을 경우 로그인을 다시 해야함.

3.

쿠키로 관리

XSS 공격에 취약하다.

CSRF 공격에 취약하다.

4.

secure httpOnly 쿠키

XSS 방어가능

단 CSRF 공격에 취약하다.

5.

웹내 로컬변수, 상태로 관리

XSS 방어가능

단 CSRF 공격에 취약하다.

Refresh Token

access token이 특정 기간 이하일 때만 재 발급 가능하도록 설정한다.

접근 토큰이 만료가 된 경우 접근 토큰과 함께 발급받은 갱신 토큰 (refresh token)을 이용하여 유효한 접근토큰을 재발급 받을 수 있다.

로직 검사 포함한다. (인증의 유저가 다른 유저의 정보를 요청하는 경우 차단)

카카오/네이버/ refresh token

카카오 API를 활용하여 다양한 어플리케이션을 개발해보세요. 카카오 로그인, 메시지 보내기, 친구 API, 인공지능 API 등을 제공합니다.

네이버 로그인 개발가이드 1. 개요 2. 네이버 로그인 서비스 소개 2.1 네이버 로그인 서비스에 대하여 2.2 제공하는 기능 2.2.1 소셜 로그인 2.2.2 로그인 연동 회원 프로필 조회 2.2.3 네이버의 로그인 오픈API 이용 2.2.4 서비스 이용 통계

Access Token과 달리 Refresh 토근만 가지고 데이터를 가져올 수 없으므로

secure httpOnly 쿠키 정도로 저장하는 것은 괜찮아보임.

아래의 링크에서 토큰을 통한 api 보호 전략을 살펴볼 수 있다.

Refresh token, Access token, Sliding Sessions

프론트엔드에서는 토큰을 어떻게 관리해야할지 고민..

Access Token

해당 토큰만으로 api를 호출하여 유효한 정보를 받을 수 있음.

1.

로컬 스토리지로 관리

반대. (사용하면 안된다는 입장)

브라우저가 안전하다고 확정지을 수 없다. (공용pc, 취약 브라우저 접속)

쉽게 열어볼 수 있다.

창을 닫아도 지속적으로 유지된다.

2.

세션 스토리지로 관리

반대.

위 이유와 비슷

실수로 닫을 경우 로그인을 다시 해야함.

3.

쿠키로 관리

XSS 공격에 취약하다.

CSRF 공격에 취약하다.

4.

secure httpOnly 쿠키

XSS 방어가능

단 CSRF 공격에 취약하다.

5.

웹내 로컬변수, 상태로 관리

XSS 방어가능

단 CSRF 공격에 취약하다.

Refresh Token

access token이 특정 기간 이하일 때만 재 발급 가능하도록 설정한다.

접근 토큰이 만료가 된 경우 접근 토큰과 함께 발급받은 갱신 토큰 (refresh token)을 이용하여 유효한 접근토큰을 재발급 받을 수 있다.

로직 검사 포함한다. (인증의 유저가 다른 유저의 정보를 요청하는 경우 차단)

카카오/네이버/ refresh token

카카오 API를 활용하여 다양한 어플리케이션을 개발해보세요. 카카오 로그인, 메시지 보내기, 친구 API, 인공지능 API 등을 제공합니다.

네이버 로그인 개발가이드 1. 개요 2. 네이버 로그인 서비스 소개 2.1 네이버 로그인 서비스에 대하여 2.2 제공하는 기능 2.2.1 소셜 로그인 2.2.2 로그인 연동 회원 프로필 조회 2.2.3 네이버의 로그인 오픈API 이용 2.2.4 서비스 이용 통계

Access Token과 달리 Refresh 토근만 가지고 데이터를 가져올 수 없으므로

secure httpOnly 쿠키 정도로 저장하는 것은 괜찮아보임.

아래의 링크에서 토큰을 통한 api 보호 전략을 살펴볼 수 있다.

Refresh token, Access token, Sliding Sessions

프론트엔드에서는 토큰을 어떻게 관리해야할지 고민..

Access Token

해당 토큰만으로 api를 호출하여 유효한 정보를 받을 수 있음.

1.

로컬 스토리지로 관리

반대. (사용하면 안된다는 입장)

브라우저가 안전하다고 확정지을 수 없다. (공용pc, 취약 브라우저 접속)

쉽게 열어볼 수 있다.

창을 닫아도 지속적으로 유지된다.

2.

세션 스토리지로 관리

반대.

위 이유와 비슷

실수로 닫을 경우 로그인을 다시 해야함.

3.

쿠키로 관리

XSS 공격에 취약하다.

CSRF 공격에 취약하다.

4.

secure httpOnly 쿠키

XSS 방어가능

단 CSRF 공격에 취약하다.

5.

웹내 로컬변수, 상태로 관리

XSS 방어가능

단 CSRF 공격에 취약하다.

Refresh Token

access token이 특정 기간 이하일 때만 재 발급 가능하도록 설정한다.

접근 토큰이 만료가 된 경우 접근 토큰과 함께 발급받은 갱신 토큰 (refresh token)을 이용하여 유효한 접근토큰을 재발급 받을 수 있다.

로직 검사 포함한다. (인증의 유저가 다른 유저의 정보를 요청하는 경우 차단)

카카오/네이버/ refresh token

카카오 API를 활용하여 다양한 어플리케이션을 개발해보세요. 카카오 로그인, 메시지 보내기, 친구 API, 인공지능 API 등을 제공합니다.

네이버 로그인 개발가이드 1. 개요 2. 네이버 로그인 서비스 소개 2.1 네이버 로그인 서비스에 대하여 2.2 제공하는 기능 2.2.1 소셜 로그인 2.2.2 로그인 연동 회원 프로필 조회 2.2.3 네이버의 로그인 오픈API 이용 2.2.4 서비스 이용 통계