로그인 정책설정

[Dongbok-Lee]

oauth 로그인시 반환되는 정보로 jwt토큰을 만들어 유저에게 그대로 뿌려주고 헤더를 통해 인증할 때, db에 저장을 하고 검증할 예정. 이 때 정책 설정을 어떻게 할 것인지? 토큰 만료시간이 30분정도 될 예정

1. 매 요청마다 db에서 검증 후, 10분 이내로 남았을 때 새로 요청하여 토큰 유효기간 갱신(sliding session)
2. refreshtoken을 db에 따로 다시 저장하여 refreshtoken만료기간이 남아있다면 accesstoken 만료시 갱신 refreshtoken이 만료되었다면 재로그인 요구(accesstoken + refreshtoken)

[Dongbok-Lee]

jwt토큰을 뿌려주고 일단은 refreshtoken 구현 없이 위 변조 여부만 체크될예정 대신 토큰의 만료시간은 2일에서 7일정도로 설정하여 적당한 타협을 볼 듯 검증은 bearer 인증헤더를 통해 모든 요청 검증