우리는 여태 자신의 비밀키를 기반으로 jwt을 만들었다.
하지만 만약 해당 비밀키도 탈취당한다면? 모든 인증을 통과할 수 있기 때문에 상당히 위험하다. 그래서 유효기간을 두는데 해당 유효기간을 짧게 두면 사용자는 로그인을 자주 경험해야하고, 너무 길게 두면 탈취 당할 위험이 있다.
이를 위해 Access Token과 Refresh Token 2개의 토큰을 사용한다.
-
Access Token
유효기간이 짧은 토큰이다. -
Refresh Token
유효기간이 긴 토큰이다.
평소에는 access 토큰으로 인증을 하고 만약 만료가 된다면 refresh로 갱신을 한다.
