JWT authorization try~catch

Lim임 2025. 10. 29. 17:40

authorization

Copilot said: 요약 - 요청 헤더의 Cookie와 응답 헤더의 Set-Cookie는
요약

요청 헤더의 Cookie와 응답 헤더의 Set-Cookie는 “같아 보여도” 역할이 다릅니다.
지금 캡처에선 같은 이름(jwt)일 뿐, 값도 실제로 다릅니다. 서버가 매 요청마다 새 토큰을 발급해서 Set-Cookie로 내려주고, 다음 요청은 이전에 받은 쿠키를 Cookie로 보내는 정상 동작입니다.
자세히 설명

요청 → 서버: Request Headers의 Cookie는 “클라이언트가 현재 가지고 있는 쿠키 값을 서버로 보냄”입니다.
서버 → 응답: Response Headers의 Set-Cookie는 “서버가 클라이언트에게 저장/갱신하라고 지시하는 새 쿠키 값”입니다.
당신의 예시에서 실제로 값이 다릅니다

요청 Cookie: jwt=...HvpUI
응답 Set-Cookie: jwt=..._3o
토큰 뒷부분이 다르고 iat(발급 시각)도 다릅니다(예: 1761719471 vs 1761719531). 즉 서버가 새 JWT를 매번 만들어 내려주는 상태입니다.
왜 매번 똑같이 보이냐고 느끼는 이유

이름과 형식이 동일해서(jwt=...) “같아 보일” 뿐, 의미는 다릅니다.
서버 코드에서 매 요청마다 res.cookie('jwt', ...)로 새 토큰을 세팅하거나, 세션/쿠키 “rolling(연장)” 설정이 켜져 있으면 Set-Cookie가 매번 내려옵니다.
Postman은 이전 응답의 Set-Cookie를 쿠키 자에 저장해 다음 요청 때 Cookie로 자동 전송합니다. 그래서 “보냈던 걸 또 받는” 느낌을 받을 수 있어요.
Postman에서 유의할 점

Headers 탭에 직접 Cookie 헤더를 수동으로 넣어두면, Postman의 쿠키 자가 갱신돼도 당신이 보낸 수동 값이 그대로 사용됩니다. 이렇게 하면 서버가 새로 내려준 값이 다음 요청에 반영되지 않을 수 있어요.
해결: Headers에서 Cookie를 지우고, 우측 상단 “Cookies”에서 도메인 쿠키를 확인/삭제하세요. 그러면 Postman이 Set-Cookie를 자동 반영해 최신 쿠키를 보냅니다.
원치 않으면 이렇게 변경

서버에서 로그인/갱신 시점에만 쿠키를 설정하고, 일반 API 요청에서는 Set-Cookie를 보내지 않도록 하세요.
express-session을 쓴다면 rolling 옵션을 끄거나, JWT를 매 요청마다 재발급하지 않도록 로직을 조정하세요.
만료 연장만 필요하면 Max-Age/Expires 갱신 정책을 명확히 하고 필요할 때만 Set-Cookie를 보내세요.
정리: 요청의 Cookie와 응답의 Set-Cookie는 역할이 다르고, 지금은 서버가 새 JWT를 매번 내려주기 때문에 “비슷해 보이는” 헤더가 양쪽에 동시에 보이는 것입니다.