Closed sieunnnn closed 1 year ago
프론트팀에서 403
이 반환되면 로그인 페이지로 리다이렉트 되도록 짜둔 것 같습니다. 페이지도 확인 완료 했습니다.
하지만 리다이렉트 url 에 ; 이 들어가 있어서 확인하고 싶은 내용을 확인하지 못하고 있습니다.
2023-08-24T15:11:27.350Z DEBUG 200193 --- [nio-8080-exec-5] o.s.s.web.DefaultRedirectStrategy : Redirecting to http://travel-planner.xyz/login;jsessionid=F4CB0D925318D7E4A441531543F8502B
2023-08-24T15:11:27.404Z DEBUG 200193 --- [nio-8080-exec-6] s.s.w.f.HttpStatusRequestRejectedHandler : Rejecting request due to: The request was rejected because the URL contained a potentially malicious String ";"
org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String ";"
* 현재 어세스토큰 만료기한은 2분, 리프레시토큰은 3분 입니다.
401
응답을 받았을 때, /token 으로 요청을 보내면 제대로 어세스토큰을 재발행 해주는가?403
응답을 보내는가? 403
응답을 받았을 때, 로그아웃 되고, 쿠키 또한 삭제되는가?/search/member
에서 /login
으로 계속 탈취되는 현상 발생일단 소셜 로그인 부분을 전부 주석처리하고 jar
파일을 만들어 서버에 배포하였습니다.
기능 설명
현재 리프레시토큰은 만료기한이 없습니다. 만료기한을 7 일로 설정하고, 로그인 시 갱신하는 프로세스를 추가해야 합니다. 사용중에 어세스토큰과 리프레시토큰이 만료되는 순간이 겹칠때가 있으리라 생각됩니다. 때문에 리프레시 토큰이 만료되고 갱신할때(재로그인 이겠죵), 어세스토큰 또한 같이 갱신되는것이 맞다고 생각합니다.
상세 로직
RedisUtil
리프레시 토큰 기한 설정하는 메서드 생성에러분기
리프레시 토큰 만료시403
반환 (메세지 넣을 수 있는지 확인하기)테스트
에러코드 알맞게 반환되는지 / 레디스 데이터 삭제 되는지 /401
에러가 나타나는지