토큰 관련 궁금한점 질문 드려요!
본문
아래처럼 이해하고 있는 부분이 맞는지 봐주실수 있나요? ㅠ
1. 세션처럼 로그인 또는 글 발행 등의 액션을 취할때 발급 됨.
2. 이후 세션처럼 destroy 또한 가능
3. 단, destroy 와 같은 기능은 원하는 때 또는 시간을 지정해서 사용이 가능함.
그럼!!!
1. 제가 이해하고 있는게 맞나요?? 아니라면 어느 부분이 보충되어야 할까요??
2. 세션값은 서버에 저장이 되던데 토큰값은 어디에 저장이 되나요??
3. jwt 로 토큰을 만들어볼까 하는데 참고할만한 자료가 있을까요??
배워도배워도 새로운게 나오네요 ㅠ 고수님들의 고견 부탁드리겠습니다 ㅠ
답변 3
간단하게 보면.. 토큰은 쿠키로 발행됩니다.
사용자의 브라우저에 '쿠키' 로 발행되며, 그 쿠키 안에 토큰이라고 불리는 유일한 값이 들어있는 거에요.
이걸 설명 안하고 다른 부수적인 것들로 설명하니까 어렵게 느껴지는 겁니다. ㅎㅎ
아 그럼 "토큰" 이라는 것은 "쿠키" 내에 삽입되어 있는 값 중 하나 라고 봐도 될까요??
네 맞습니다.
그래서, 쿠키가 발행이 잘 되어야 이후 세션이 잘 작동하게 되는 것이지요.
맞다면 제가 제일 찾던 답변이 이거네요 ㅠ
토큰 생성 > 쿠키값의 일부로 저장 > 세션값과 비교 > 통과 or return
이런식으로 보면 될까요??
네 맞아요 . 그렇게 인과관계로 보면 참 쉬운데 그걸 빼고 보니까 어려워지는 것이지요
그럼 할수 있겠네요 ㅎㅎㅎ
제일 중요한게 어디에 저장이 되는지가 제일 중요했거든요 ㅎㅎ
그래야 불러와서 어따 보내던 고치던 하니까 ㅎㅎ
감사합니다!! 채택 드렸습니다!!
- 글쓰는 페이지에서 임의토큰 값 생성 (임의코드 및 날짜시간코드 조합)
- 새로 고침 및 다시 진입시 초기화와 동시 새로 부여
- 세션 값으로 저장(필수)
- 세션 값을 불러와 숨김 필드 추가(인코딩 출력)
- 업로드 페이지
- 세션 값 불러오기(디코딩 출력)
- 저장한 세션 값과 숨김 필드 값 비교
- 같으면 통과
- 다르면 경고 메세지
외부 다이렉트 저장을 방지하기 위해 토큰 기능을 사용합니다.
결론은 토큰값이 세션값으로 저장이 된다는 이야기일까요??
어렵네요 ㅠㅠ
네 그렇습니다.
비교하고 나면 기존 세션값을 지워야합니다.
