localStorage 탈피, httpOnly Cookie로 완성하는 JWT 보안 설계

Context

localStorage 기반 토큰 저장 방식의 보안 취약점 노출. XSS 공격 발생 시 스크립트를 통한 토큰 탈취 가능성 존재. 프론트엔드 단의 수동 토큰 관리로 인한 코드 복잡도 증가.

Technical Solution

• 응답 바디 대신 httpOnly Cookie에 Access 및 Refresh Token을 저장하는 구조
• 브라우저의 자동 쿠키 전송 메커니즘을 활용한 네트워크 요청 최적화
• JavaScript 접근을 차단하여 XSS 공격으로부터 토큰을 보호하는 보안 계층 설계
• 별도의 DB 조회 없이 서명된 토큰을 검증하는 Stateless 아키텍처 유지
• 헤더 대신 쿠키에서 토큰을 읽어 처리하는 커스텀 인증 클래스 구현
• 프론트엔드에서 토큰 저장 및 헤더 부착 로직을 제거한 API 호출 단순화 전략

Key Takeaway

보안성과 개발 편의성을 동시에 확보하기 위해 브라우저 내장 보안 메커니즘을 활용하는 설계 원칙. Stateless한 JWT의 장점과 Cookie의 보안 속성을 결합한 하이브리드 인증 전략의 유효성.