로그인 보안 - Githubissues

어떻게 하면 로그인 회원가입 보안이 좀 좋을 수 있을까?

 setRefreshToken({ user, res }) {
    const refreshToken = this.jwtService.sign(
      {
        email: user.email,
        sub: user.id,
      },
      { secret: 'myRefreshKey', expiresIn: '2w' },
    );

    //개발환경 쿠키는 헤더에 들어가 있다. 쿠키에 저장할 때 보안옵션을 줄 수 있다.
    // 프론트에서 쿠키를 만들어 주는 것으로 알고있어!
    res.setHeader('set-cookie', `refreshToken=${refreshToken}; path=/;`);

    배포환경
    res.setHeader('Access-Control-Allow-Origin', 'https://myfrontsite.com')
    res.setHeader(
      'Set-Cookie',
      `refreshToken=${refreshToken}; path=/; domain=.mybacksite.com; SameSite=None; Secure; httpOnly;`
    )
  }

맞춰주면되는데 도메인이 달라서 안된다

8Avengers / YumYum-BE

로그인 보안 #214