토큰 기반 인증 JWT
앱, 웹 혹은 서버 개발을 하면서 꼭 사용하게 되는 인증 Authorization은 아주 중요합니다.
액세스 토큰 Access Token 과 리프레시 토큰 Refresh Token 은 주로 OAuth와 같은 인증 프로토콜에서 사용되는 토큰입니다.
- 액세스 토큰 (Access Token)
- 사용자가 서비스에 대한 특정 권한을 얻기 위해 사용되는 토큰
- 보통 짧은 수명을 가지며, 이는 보안을 위한 조치. 액세스 토큰이 유출되더라도 짧은 수명때문에 오랜 시간동안 악용될 위험이 적음 (1d, 1h)
- 액세스 토큰 수명이 만료되면, 리프레시 토큰을 사용해서 새로운 액세스 토큰을 발급받을 수 있음
- 리프레시 토큰 (Refresh Token)
- 액세스 토큰의 수명이 만료되었을 때, 새로운 액세스 토큰을 발급받기 위한 토큰
- 보통 긴 수명을 가짐 (15일?)
- 리프레시 토큰이 유출될 경우, 악의적인 사용자가 지속적으로 액세스 토큰을 발급받아 사용할 수 있기 때문에 매우 중요한 정보임
이러한 토큰 시스템은 사용자가 로그인할 때마다 인증정보를 제공하지 않고도 지속적으로 서비스를 이용할 수 있게 해줌.
- HTTPS (Hyper Text Transfer Protocol Secure)
1) 암호화 : HTTPS 는 데이터를 암호화하여 전송하므로, 중간에 데이터를 가로채는 중간자 공격을 방지함
2) 데이터 무결성: HTTPS는 전송되는 데이터가 중간에 변조되지 않았음을 보장함
3) 인증: 사용자는 HTTPS를 통해 웹사이트가 실제로 그 웹사이트임을 확인할 수 있음. 예를 들어, 사용자는 은행의 웹사이트에 접속할 때, https를 통해 해당 사이트가 실제로 그 은행의 웹사이트임을 확인할 수 있음
이런 이유로 HTTPS는 보안이 중요한 웹사이트에서 필수적으로 사용되어야 한다.
정리하자면,
액세스 토큰과 리프레시 토큰은 주로 사용자의 인증 및 인가를 위한 목적으로 사용되며,
액세스 토큰은 짧은 수명을 가지며, API나 웹서비스에 요청할 때, 이를 포함해서 권한을 검증 받음
리프레시 토큰은 액세스 토큰이 만료되었을 때, 새로운 액세스 토큰을 받기 위해 사용됨
HTTPS는 데이터 암호화, 무결성, 인증을 위해 사용되는 프로토콜,
이 프로토콜을 사용하게 되면 사용자와 서버간의 통신이 암호화되어 중간자 공격에서 안전하게 보호됨.
그렇다면 셋의 관계는 사용하는 목적은 다르지만, 보안에 관한 맥락에서는 함께 사용되는 경우가 많음
👉 액세스 토큰이나 리프레시 토큰 같은 민감한 정보를 안전하게 전송하기 위해 HTTPS가 필요합니다.
사용자가 로그인을 시도할 때, 로그인 정보를 안전하게 전송하기 위해 HTTPS를 사용하며, 성공적으로 로그인되면 서버는 액세스 토큰 및 리프레시 토큰을 제공한다.
