🧐 Access Token과 Refresh Token이란 무엇이고 왜 필요할까?

김민주·2023년 8월 11일

JWT 토큰 인증, 안드로이드에서 구현하기

목록 보기

2/3

들어가기

JWT 토큰은 유저의 신원이나 권한을 결정하는 정보를 담고 있는 데이터 조각이다. JWT 토큰을 사용해서 클라이언트와 서버는 안전하게 통신하다. 왜냐하면 JWT 토큰 인증방식은 비밀키(개인키 or 대칭키)로 암호화를 하기 때문이다.

그런데 탈취 당했을 때가 문제다.🙀 JWT 토큰을 탈취한 사람은 마치 신뢰할만한 사람인 것처럼 인증을 통과할 수 있기 때문이다. 심지어 본 주인인 클라이언트와 탈취한 사람을 서버는 구분할 수 없다. 따라서 유효 기간을 두어야하는 것이다.

그런데 유효기간을 짧게 두면 사용자가 로그인을 자주 해야하므로 사용자 경험적으로 좋지 않고, 유효기간을 길게 두면 보안상 탈취 위험에서 벗어날 수 없다.

해결법은 유효기간이 다른 JWT 토큰 2개(Acses Token과 Refresh Token)을 두는 것이다.

프로세스

기본적인 개념은 다음과 같다.

Access Token의 유효기간은 짧다. (ex. 60일(마이크로소프트), 1시간(아마존))
Refresh Token의 유효기간은 길다. (ex. 1년 (마이크로소프트))
평소에 API 통신할 때는 Access Token을 사용하고, Refresh Token은 Access Token이 만료되어 갱신될 때만 사용한다.

즉, 통신과정에서 탈취당할 위험이 큰 Access Token의 만료 기간을 짧게 두고 Refresh Token으로 주기적으로 재발급함으로써 피해을 최소화한 것이다.

🧑‍🏫 구체적으로 살펴보기 (서버-클라이언트 통신)

로그인 인증에 성공한 클라이언트는 Refresh Token과 Access Token 두 개를 서버로부터 받는다.
클라이언트는 Refresh Token과 Access Token을 로컬에 저장해놓는다.
클라이언트는 헤더에 Access Token을 넣고 API 통신을 한다. (Authorization)
일정 기간이 지나 Access Token의 유효기간이 만료되었다.
4.1. Access Token은 이제 유효하지 않으므로 권한이 없는 사용자가 된다.
4.2. 클라이언트로부터 유효기간이 지난 Access Token을 받은 서버는 401 (Unauthorized) 에러 코드로 응답한다.
4.3. 401를 통해 클라이언트는 invalid_token (유효기간이 만료되었음)을 알 수 있다.
헤더에 Access Token 대신 Refresh Token을 넣어 API를 재요청한다.
Refresh Token으로 사용자의 권한을 확인한 서버는 응답쿼리 헤더에 새로운 Access Token을 넣어 응답한다.
만약 Refresh Token도 만료되었다면 서버는 동일하게 401 error code를 보내고, 클라이언트는 재로그인해야한다.

악의있는 탈취자는 통신이 빈번한 Access Token을 탈취할 가능성이 높다. 운이 좋게 탈취에 성공했더라도 Access Token의 만료 시간은 짧기 때문에 탈취자는 또 다시 탈취를 시도해야한다. 왜냐하면 JWT Token의 만료 시간은 변경이 불가능하기 때문이다!

JWT 토큰 구조를 다시 생각해보면 Header, Payload, Signature로 되어있다. 만료 기간은 Payload에 적혀있고, Signature는 Header+Payload를 비밀키로 암호화한 것이다. 탈취자는 토큰은 계속 사용하고 싶기 때문에 Payload에 있는 만료 기간을 늘리려고 할 것이다. 그런데 Payload의 만료기간을 바꾼다고 해서 Signature가 바뀌지 않는다. Signature에서 복호화한 Payload와 변경된 Payload가 일치하지 않는 것을 비밀키를 가지고 있는 서버는 알 수 있고, 접근 권한을 내어주지 않게 되는 것이다.

Refresh Token 탈취 위험

Refresh Token의 통신 빈도가 적기는 하지만 탈취 위험에서 완전히 벗어난 것은 아니다. Refresh Token이 탈취당하는 건 예방할 수 있을까? OAuth에서는 Refresh Token Rotation을 제시한다.

Refresh Token Rotation은 클라이언트가 Access Token를 재요청할 때마다 Refresh Token도 새로 발급받는 것이다.

이렇게 되면 탈취자가 가지고 있는 Refresh Token은 더이상 만료 기간이 긴 토큰이 아니게 된다. 따라서 불법적인 사용의 위험은 줄어든다.

혹시 더 궁금한 사람들은 아래 영상을 보면 좋을 것 같다.

What are Refresh Tokens?! and How to use them securely?

결론

Refresh Token은 JWT 토큰의 탈취 위험을 최소화하고, 사용자 경험을 높이기 위해(빈번한 재로그인 방지를 위해) 나온 것이다.
Access Token의 유효 기간은 짧고, 평소 API 통신할 때 사용한다.
Refresh Token의 유효 기간은 길고, Access Token 재발급 받을 때 사용한다.
Refresh Token은 여전히 탈취 위험이 있고, Refresh Token Rotation을 통해 위험을 줄일 수 있다.

참고자료

https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/

https://velog.io/@park2348190/JWT에서-Refresh-Token은-왜-필요한가

김민주

즐거운 개발자 김민주입니다🙂

이전 포스트

😎 알고 쓰자, JWT(Json Web Token).

다음 포스트

🤖 안드로이드에서 Access Token 만료 처리하기 (Feat. dataStore)

8개의 댓글

happy

2023년 8월 11일

정리가 잘 된 글이네요. 도움이 됐습니다.

1개의 답글

Jongwoo Choi

2024년 3월 25일

감사합니다!! JWT 만 사용해서 다른 토큰은 개념이 모호했는데 이 글 덕분에 정확히 짚고 갑니다 ^^

답글 달기

dongmin

2024년 4월 20일

이해하기 쉽게 작성해주셔서 감사합니다!

답글 달기

진우

2024년 5월 2일

구체적으로 살펴보기 (서버-클라이언트 통신)를 읽고 흐름에 대해 쉽게 이해했어요. 감사합니다!

답글 달기

devdev

2024년 5월 11일

글 감사합니다. 질문이 있습니다. Refresh Token Rotation을 써서 액세스토큰 재요청마다 리프레시 토큰을 재발급하면 리프래시 토큰 유효기간 (예:1년)이 초기화 될텐데 그러면 유저가 1년에 한 번 이상 사이트를 재방문하면 이론상 평생동안 토큰을 재발급 받을 수 있는건가요?

1개의 답글

wanee

2024년 5월 14일

이해하는 데 엄청나게 도움되었습니다. 감사합니다

답글 달기