Access와 Refresh Token
Access Token (액세스 토큰)
-
용도: 액세스 토큰은 클라이언트가 보호된 리소스에 접근하기 위한 권한을 부여받은 후, 해당 권한을 증명하는 데 사용된다.
-
수명: 보통 짧은 수명을 가짐. 몇 분 또는 몇 시간과 같이 상대적으로 짧은 기간 동안 유효하며, 이는 토큰이 유출되더라도 큰 피해를 최소화하기 위해서임!
-
발급자: OAuth 2.0 인증 서버에서 발급되며, 클라이언트가 사용자의 권한을 얻기 위해 인증 코드 교환 등의 과정을 거친 후 받게 된다고 하네요..
-
사용자 식별: 주로 리소스 서버에 접근하는 클라이언트가 자신을 식별하기 위해 사용한다!
Refresh Token (리프레시 토큰)
-
용도: 리프레시 토큰은 Access Token이 만료되었을 때 새로운 Access Token을 발급받기 위한 용도로 사용됨.
-
수명: 일반적으로 Access Token보다 더 긴 수명을 가집니다. 이는 사용자가 장기간 로그인 상태를 유지하도록 허용함.
-
발급자: OAuth 2.0 인증 서버에서 발급되며, Access Token과 함께 클라이언트에게 전달된다.
-
사용자 식별: 주로 클라이언트가 사용자를 식별하여 새로운 Access Token을 발급받을 때 사용됨!
작동 원리
-
인증 과정: 사용자는 클라이언트 애플리케이션을 통해 인증 서버에 로그인하고 권한을 부여받는다.
-
토큰 발급: 인증 서버는 권한을 확인한 후, Access Token과 Refresh Token을 클라이언트에게 발급한다.
-
Access Token 사용: 클라이언트는 Access Token을 사용하여 보호된 리소스에 접근한다.
-
Access Token 만료: Access Token이 만료되면 클라이언트는 Refresh Token을 사용하여 새로운 Access Token을 요청한다.
-
새로운 Access Token 발급: 인증 서버는 새로운 Access Token을 발급하고 클라이언트에게 전달한다.
