인프런 커뮤니티 질문&답변
작성한 질문수
findByUsername(username)을 사용하는 이유가 궁금합니다.
작성
·
411
0
안녕하세요 강사님 궁금한 점이 해결되지 않아서 질문 남깁니다.
강사님 git에 있는 소스를 그대로 갖고 왔습니다.
토큰이 정상적인 상황일 때,
즉 username 값이 존재할 때 findByUsername을 사용해서 user객체를 얻는 장면인데
토큰 안에 User객체 자체를 저장해서 불필요한 DB연동을 안 하는 방식은 잘못된 방식인가요?
제 생각에는 이렇게 사용하면 토큰에 User 정보가 노출되기 때문에 보안이 취약하다 라고 생각하는데 이 생각이 맞는지 궁금합니다.
username은 충분히 겹칠 수 있는 값이라고 생각이 드는데 토큰을 저장할 때 Id값을 저장해서 꺼내오는 방식은 잘못된 방식일까요?
답변 1
0
최주호
지식공유자
토큰이 정상일 때 User 객체를 저장하는것은 괜찮지만, 토큰을 만들 때 유저정보를 많이 저장해두는 것은 좋지 않습니다. id와 role 정도만 저장하면 됩니다. 토큰에!!
username은 uk로 설정하여 겹치지 못하게 할 수도 있습니다. 그리고 id를 꺼내오는 방식도 괜찮습니다