![]()
들어가며 지난 번 삽질로그에서 배포 후 cookie를 넘겨주는 문제를 해결했었다. 그런데 이번에는 그렇게 넘겨준 cookie가 삭제되지 않는 문제가 발생했다. 소셜 로그인 시 redirect_uri 등등 잠시 사용할 목적의 쿠키를 저장해두었다가 로그인 완료 후 token 발급 시에 해당 쿠키를 삭제하는 방식으로 구현이 되어있어 최종적으로 refresh_token만 쿠키 안에 담겨있어야하는데 필요없는 쿠키들이 삭제되고있지 않았다. 오늘의 TIL은 이 문제에 대한 트러블 슈팅을 해보고자 한다. 배포 후, cookie가 삭제되지 않는 문제 기존의 cookie 삭제 로직은 다음과 같다 public static void deleteCookie(HttpServletRequest request, HttpServlet..
![]()
문제상황 로그인 요청 후 cookie에 refresh token을 담아 보내주고 있는데, 로컬 서버에서 로컬 클라이언트로 테스트를 하면 정상적으로 cookie에 담겨서 보내지지만 배포 후 로컬 클라이언트로 테스트를 하면 보내지지 않는 문제가 있다. 해결과정 첫번째 시도 - SameSite 설정을 None으로 바꿔본다. same-site 옵션 csrf 공격을 방어하기 위한 옵션으로 같은 도메인에서만 쿠키를 전달하거나(strict) 안전한 요청인 get을 통하는 경우에만 쿠키를 전달(Lax)하자는 것이다. 이를 None으로 설정하면 보안 위협을 받을 수 있기 때문에 secure 옵션을 추가해주어야며, 실제로 사용하는 것이 아니라 개발 환경에서만 사용해야한다. 또, secure 옵션을 사용하기 위해서는 htt..
