인증 Best Case 기본 flow (OpenIDC) Best Case라고 생각하는 인증 flow(OpenIDC)를 먼저 설명하겠습니다. 먼저, Auth Service가 타 서비스가 아닌 자사의 서비스일 때는 OAuth 기반의 flow가 필요없이 다음과 같이 시퀀스 다이어그램이 그려집니다. (타 서비스일 경우 OAuth 보기) Client가 id(username)와 password를 입력하여 로그인합니다. 로그인 요청은 BFF → Server → Auth Service로 전해집니다. 전달된 id와 password로 Auth Service에서 인증합니다. 인증에 성공하면 access token, refresh token, id token 를 Server로 전달합니다. Server는 id token 을 d..

Refresh token의 장점 본인은 원래 API 요청 시 매번 Access Token을 발급하는 식으로 API를 구성하였는데, 이렇게 구성할 경우 사용자가 많아질 수록 시스템 부하가 증가한다. 따라서 Refresh Token을 발급하는 것이 낫다. 또한, refresh token이 있을 경우 access token의 유효 시간을 짧게 하여 탈취 시 빠르게 무효화 시킬 수 있다. Refresh token의 동작 Access Token을 통해 User가 request를 보내고, 유효 시간이 만료 되었다는 응답을 받는다. User는 Access Token고 함께 Refresh Token을 서버로 보낸다. Refresh Token이 유효하다면 유효시간이 갱신된 Access Token이 새로 발급되어 User..

token은 cookie에 저장할 수도, Web Storage에 저장할 수도, Client 자체에 저장할 수도 있다. Cookie 쿠키는 서버가 보낸 데이터를 최대 4KB까지 저장 가능하다. 클라이언트에서 Credential 속성으로 허용하면 서버에서 접근 가능하다. HTTP Request 시 자동으로 포함되어 서버에 쿠키 정보를 제공 가능하다. HttpOnly 설정을 이용하여 사용자가 제어할 수 없도록 만들 수 있다. Web Storage Session Storage 서버에서 접근할 수 없다. 세션이 종료되면 모두 삭제 된다. 5~10MB의 크기를 갖는다. Local Storage 서버에서 접근할 수 없다. 반 영구적으로 저장할 수 있다. 5~10MB의 크기를 갖는다. Client Side 클라이언트 ..