## 📝 현재 문제점 * 관리자 페이지(Next.js, BFF 패턴)에서 로그인 API 연동이 미완료 상태입니다. * 로그인 후 반환되는 JWT 보관/전파 방식과, 이후 API 요청 시 `Authorization` 헤더 주입 규칙이 정해지지 않아 인증이 필요한 관리자용 API를 안정적으로 호출할 수 없습니다. ## 🛠️ 해결 방안 / 제안 기능 * **로그인 요청 시 JWT 반환** * 백엔드(Spring Boot) 로그인 API가 `accessToken(JWT)`를 반환하도록 명세 고정. * **BFF에서 토큰 보관(추천)** * BFF(Next.js App Router Route Handler)에서 백엔드 로그인 API 호출 후 수신한 `accessToken`을 **HttpOnly + Secure + SameSite=Strict** 쿠키로 설정. * 보안상 `localStorage` 저장은 지양하고, **클라이언트는 쿠키 자동 전송만 담당**, 토큰은 브라우저 JS에 노출하지 않음. * **이후 API 요청 시 Authorization 헤더 주입** * **클라이언트 → BFF**: 클라이언트는 BFF의 API만 호출. * **BFF → 백엔드**: BFF의 공통 fetch/axios 레이어에서 쿠키의 `accessToken`을 읽어 `Authorization: Bearer <accessToken>` 헤더를 자동 주입하여 백엔드로 프록시. * **에러/만료 처리(간단 버전)** * 백엔드에서 `401` 수신 시 BFF가 쿠키 삭제 후 로그인 페이지로 리다이렉트. (리프레시 토큰이 없다면 재로그인 플로우) ## 🙋♂️ 담당자 * 백엔드: 이름 * 프론트엔드: @Chuseok22 * 디자인: 이름
📝 현재 문제점
Authorization헤더 주입 규칙이 정해지지 않아 인증이 필요한 관리자용 API를 안정적으로 호출할 수 없습니다.🛠️ 해결 방안 / 제안 기능
로그인 요청 시 JWT 반환
accessToken(JWT)를 반환하도록 명세 고정.BFF에서 토큰 보관(추천)
accessToken을 HttpOnly + Secure + SameSite=Strict 쿠키로 설정.localStorage저장은 지양하고, 클라이언트는 쿠키 자동 전송만 담당, 토큰은 브라우저 JS에 노출하지 않음.이후 API 요청 시 Authorization 헤더 주입
accessToken을 읽어Authorization: Bearer <accessToken>헤더를 자동 주입하여 백엔드로 프록시.에러/만료 처리(간단 버전)
401수신 시 BFF가 쿠키 삭제 후 로그인 페이지로 리다이렉트. (리프레시 토큰이 없다면 재로그인 플로우)🙋♂️ 담당자