웹 요청 정리

 

---

요청 시

 

토큰은 여러 종류가 있고, 헤더에 토큰 종류를 명시한다.

Authorization : Basic xxxx    - id, pass를 base64 인코딩

Authorization : Bearer xxxxx    - 보통 JWT를 사용할 경우

 

 

 

 

 

---

보안 설정

 

 

 

 - 서버 설정

Access-Control-Allow-Credentials : true

로 설정하게 되면,

Access-Control-Allow-Origin

를 "*" 로 할 수 없다.

 

모든 Origin의 Credentials를 허가하는 것은 위험하기 때문

Pattern, whiteList을 이용하거나, 클라이언트 Origin을 명시해서 적어야한다.

 

 

 - 브라우저 클라이언트 설정

withCredential : true