SpringBoot에서 HttpOnly 쿠키방식을 이용한 refreshToken 발급

jwt의 access_token과 refresh_token를 구현하는 과정에서 프로젝트 프론트 팀원분이 

refresh_token은 쿠키에 담아서 전송해달라는 요청이 들어왔다. 

과정은 대략 아래와 같다.

 

https://velog.io/@yaytomato/%ED%94%84%EB%A1%A0%ED%8A%B8%EC%97%90%EC%84%9C-%EC%95%88%EC%A0%84%ED%95%98%EA%B2%8C-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EC%B2%98%EB%A6%AC%ED%95%98%EA%B8%B0

전송방식은 Http Only 방식으로 쿠키에 담아 전송하였다.

 

httpOnly란 Set-Cookie HTTP reponse 헤더에 포함되는 flagf이다.

cookie를 생성할 때 HttpOnly를 사용하는 것은 브라우저가 HttpOnly를 지원할 경우 쿠키는 클라이언트 측 스크립트에 접근할 수 없다. 악성 스크립트(XSS 공격)에 의한 위험을 완화시켜준다.

 

즉, http only 쿠키 방식으로 저장된 정보는 Javscript의 Document.cookieAPI로 접근이 불가능하다. 따라서 XSS 취약점 공격으로 담긴 값을 불러올 수 없다. 또한 CSRF 공격도 막을 수 있다.

 

로그인 이후 서버에선 refreshToken은 Header의 Set-Cookie에 담고 accessToken은 JSON Body에 담아서 보내기로 정하였다.

 

예제 코드

@GetMapping("/login")
@ResponseBody
public ResponseEntity<?> login(@RequestBody String credentials, HttpServletResponse response) {

    // create a cookie
    Cookie cookie = new Cookie("platform","mobile");

    // expires in 7 days
    cookie.setMaxAge(7 * 24 * 60 * 60);

    // optional properties
    cookie.setSecure(true);
    cookie.setHttpOnly(true);
    cookie.setPath("/");

    // add cookie to response
    response.addCookie(cookie);

    // TODO: add your login logic here
    String jwtToken = "NOT_AVAILABLE";

    // return response entity
    return new ResponseEntity<>(jwtToken, HttpStatus.OK);
}

프로젝트에 적용한 코드는 다른 로직도 들어가있어 복잡하다. 그래서 쿠키방식을 위를 참고하여 구현하였다.

 

 

참고

velog.io/@yaytomato/%ED%94%84%EB%A1%A0%ED%8A%B8%EC%97%90%EC%84%9C-%EC%95%88%EC%A0%84%ED%95%98%EA%B2%8C-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EC%B2%98%EB%A6%AC%ED%95%98%EA%B8%B0

dzone.com/articles/how-to-use-cookies-in-spring-boot

attacomsian.com/blog/set-cookie-with-response-entity-in-spring-boot

jun-itworld.tistory.com/27