반응형
요청 시
토큰은 여러 종류가 있고, 헤더에 토큰 종류를 명시한다.
Authorization : Basic xxxx - id, pass를 base64 인코딩
Authorization : Bearer xxxxx - 보통 JWT를 사용할 경우
보안 설정
- 서버 설정
Access-Control-Allow-Credentials : true
로 설정하게 되면,
Access-Control-Allow-Origin
를 "*" 로 할 수 없다.
모든 Origin의 Credentials를 허가하는 것은 위험하기 때문
Pattern, whiteList을 이용하거나, 클라이언트 Origin을 명시해서 적어야한다.
- 브라우저 클라이언트 설정
withCredential : true
반응형
'프로그래밍 > Security' 카테고리의 다른 글
| [쿠키] Javascript로 쿠키에 직접 접근, HttpOnly, CORS (0) | 2022.10.19 |
|---|---|
| [Web 보안] XSS, CSRF (0) | 2022.08.25 |
| [Spring Security] 로그인 구현 (0) | 2022.08.24 |
| [인증과 인가] 쿠키와 세션, JWT (0) | 2022.06.23 |