- Access Token의 문제점
- 사용자의 잦은 로그아웃
- 짧은 유효기간으로 인한 사용자의 잦은 로그인
- 보안문제
- 사용자의 잦은 로그아웃
- Refresh Token의 사용 목적
- 클라이언트가 가지고 있는 Access Token이 만료되었을때 Access Token을 새로 발급하기 위함
- Refresh Token의 매커니즘
- 클라이언트가 로그인을 요청하여 성공하면, Access Token과 Refresh Token을 함께 제공
- 이후 클라이언트는 인가가 필요한 요청에 Access Token을 같이 보냄
- Access Token이 만료되면 클라이언트는 Refresh Token을 보내어 새로 Access Token을 발급
- RTR (Refresh Token Rotation)
- Refresh Token을 한번만 사용할 수 있게 만드는 방법
- Refresh Token을 사용하여 새로운 Access Token을 발급 받을때 Refresh Token도 새롭게 발급해 버린다.
- Access Token과 Refresh Token은 어디에 저장해도 해커들은 탈취해 갈수 있기에 그 경우의 수 를 줄이는데 힘을 쓸것!
- Access Token은 js 변수에, Refresh Token은 HTTP Only 쿠키에 저장
- Access Token은 js 변수에, Refresh Token은 DB에 저장
- 등 방법은 많음!
내가 이해한 코드가 다른 개발자도 이해한다! 안녕하세요 JAVA 개발자 입니다.