토큰을 저장하는 위치토큰은 일반적으로 쿠키, 스토리지, 로컬 변수 등에 저장한다.쿠키는 HttpOnly를 true로 주게되면 script로 접근이 불가능하기 때문에 스크립트를 실행하는 XSS를 방지할 수 있지만, 모든 HTTP 요청에 자동으로 포함되기 때문에 요청을 위조하는 CSRF 공격으로부터 안전하지 않다.따라서 Secure 옵션으로 https에서만 전송하도록 설정하고, sameSite 설정을 통해 cross site  전송을 막아야한다. 반면 스토리지는 HTTP 요청에 자동으로 포함되지 않기 때문에 CSRF를 방지할 수 있지만, script로 접근할 수 있다. 위와 같은 이유로 액세스 토큰을 함수 스코프 내에서만 동작하는 로컬 변수에 저장하는 것이 가장 안전하다. 액세스 토큰을 발급받는 용도 외에는..