[기능 요청] 인증/인가 구조 변경

[pykido]

💡 개요

security 관련 리팩토링을 진행하다가 인증/인가 구조 변경이 필요할 거 같아 리팩토링 요청드립니다!

인증/인가 구조 변경

• 과거 방식
  1. 백엔드에서 모두 쿠키로 액세스 토큰과 리프래시 토큰을 프론트에게 내려줌
  2. 프론트에서는 쿠키에서 액세스 토큰을 꺼내서 Authorization 헤더에 넣어서 요청을 보내야함

과거 방식은 액세스 토큰이 담긴 쿠키를 http only false 설정을 해줘야해서 xss공격에 취약합니다.

또한 자동발송이라는 쿠키의 장점을 전혀 사용하지 못하는 구조입니다.

• 변경된 방식

  http only true방식으로 변경하고 JWTAccessFilter에서는 헤더가 아닌 쿠키에서 액세스 토큰을 꺼내서 검사하는 로직으로 변경

참고 : 백엔드 PR - security 관련 리팩토링

✅ To-do

• 체크박스 형식으로 요구 사항을 명시합니다.

[jinwon1234]

현재 프론트 코드는

1. 쿠키에서 액세스 토큰을 꺼냄
2. 해당 액세스 토큰을 세션 스토리지에 저장
3. 인증/인가가 필요할 때 Authorization Header에 넣어서 보내줌

위 방식을 사용하면 javascript으로 쿠키 value를 꺼내볼 수 있는 보안상 취약점이 존재합니다.
개선할 수 있는 방법은 아래 2가지가 있습니다.

1. Authorization Header에 액세스 토큰을 발급하는 방식

1. 백엔드에서 Auhorization Header에 Bearer 방식으로 액세스 토큰을 발급해줌
2. 프론트에서는 Auhorization Header에서 액세스 토큰을 꺼내 세션 스토리지에 저장
3. 인증/인가가 필요할 때 Authorization Header에 넣어서 보내줌 (기존 방식과 동일)

2. 쿠키에 액세스 토큰을 발급하는 방식

1. 백엔드에서 쿠키로 액세스 토큰을 발급해줌 (기존 방식과 동일)
2. 인증이 필요할때마다 쿠키 전송

두 가지 방식중에 하나를 사용하면됩니다. (현재 수정된 백엔드 코드는 2번 방식에 맞춰있지만, 1번 방식도 좋습니다.)

[pykido]

2번으로 인증/인가 구조 수정이 결정되었습니다!