전 당연히 2번이라고 생각하고 살아와서 1번은 고려도 안 해 봤다는...

그런데 여러 플랫폼, 그리고 다른 사이트 서비스와의 연동에는 2번이 나은 거 아닐까 하는 생각입니다.

저도 똑같은 고민 아닌 고민이 들더라구요.
그래서 결론은 
처음 접속 시 user csrf token을 생성해 놓고
모든 폼 전송 또는 다른 요청을 ajax를 통해 요청하고 요청 시에만 header로 보내는 걸로 했습니다만.
로봇이 사람과 동일하게 작동하면 무의미하다. 하지만 없는 것 보다는 좋다. 뭐 이런 정도의 결론으로 합의봤습니다.

프론트에서 쿠키에서 엑세스토큰을 들고 늘 서버에 요청하러 들어올텐데, 검증은 서버에서 하는 것 아닐까요? 프론트에서는 그냥 이용만? 만일 프론트에서 검증(키가 유효한지 다른값보다 'credential'을 확인할 수 있는 secure key는 서버만 갖고 있어야...)까지하려면 보안에 뚫릴 수 있는 위험을 늘리는 것은 아닌지...

nextjs가 자꾸만 client->server로 개발방향을 옮기는 것을 보면, 어쩌면 자신들도 클라(프론트)에 너무 공을 들이는 것은 보안적 위협이 높아지기 때문이 아닌가 싶기도합니다. 

부족한 지식에 한마디 거듭니다요... 저도 잘 모릅니다. 그냥 공부중...ㅎㅎ;

@미니님a 리프레시가 만료되었다는 것은 서버에서 알 수 있는 듯하옵니다. secret key로 jwt(액세스토큰)를 풀어서 jwt의 credential 이 valid한가? 만일 틀렸다면 rt를 통해 새로 at를 얻도록 - 심리스(seamless)하게 - 해서 실컷 글쓰고 있다가 submit했는데 글쓰기 안되고 로그인화면으로 가게되는 사용자가 열받게 되는 상황을 없애는 어떤 과정이 필요한 것 같습니다. 

next auth(v5)에서는 middleware.ts에서 운용을 돕는 듯하옵니다... orz

그리고 최근 추세는 그냥 페이지 라우팅이 이뤄질 때마다 at를 연장을 시키는 분위기같기도합니다. next auth의 경우 그렇게 하는 듯... 

@미니님a blur되었다가 다시 화면이 unblur되면 갱신하기도합니다. 

등등 십수가지 경우를 대비하여 next auth 는 세션을 seamless 하게 그걸 구현하는 것 같아요...