채팅 서버 구현하면서 궁금한점들 2

* 본 포스팅은 내가 구현하면서 궁금한 점들을 나열한 것으로, 개인적인 견해, 부정확한 정보 등이 아주아주 많다.

* 잘 모르겠는 부분들을 나열하고 이에 대해 나름대로 현재 상황에서 정리한 것이다.

 

1. 발급한 JWT에는 어떤 데이터를 담아야 하는가

 -> 기본적으로 JWT는 노출될 수 있으므로 토큰이 decode 되도 상관없는 정보를 담아야 함

 

2. Refresh Token을 어떤 경우에 사용해야 하는가

 -> Access Token도 결국 노출되면 위험하므로, 유효 기간을 짧게 설정함

 -> 유효 기간이 짧으면 사용자 입장에서 불편함 이를 해결하기 위해 Refresh Token 도입해야

 -> 유효 기간이 길도록 설정된  Refresh Token을 활용해서 Access Token을 재발급하는데 사용

 -> 단, Refresh Token도 노출되는 것은 똑같기 때문에, 쿠키에 저장하면 위험함

 -> 그렇다고 DB에 따로 담아 저장하자니 Session 대신 JWT를 사용하는 메리트를 잘 모르겟다.

 -> 실제로 Refresh Token을 사용하지 않는 경우 존재(깃허브 소셜 로그인)

 

3. 서버 배포는 어떻게 하는 편이 좋은가 (heroku vs ec2)

-> 우선 heroku로 배포해본 경험은 있는데, 서버가 sleep 되고 있는 문제점이 있다.

-> EC2를 사용해본 경험은 없다. 관련 튜토리얼을 찾아봐야 한다.

 

4. 클라이언트 쪽에서 비밀번호를 어떻게 관리하는 것이 좋은가

-> 회원가입 할 때 비밀번호 강제 : 특수문자 포함, 몇자리 이상 등

 

5. 메일을 통한 인증 로직

-> 회원가입 : 메일로 인증 코드 발송

-> 비밀번호 초기화: : 메일로 임시 비밀번호 발급, 비밀번호 재설정으로 안내해야함

 

6. 소셜 로그인

-> passport를 사용해본 경험은 있는데, 이번 프로젝트에서는 이를 사용하지 않기로 했으므로, 직접 구현해야 할듯