오늘은 Spring Security과 JWT의 Access Token, Refresh Token 에 대해서 배웠으며, 배우고 느낀점을 정리 하겠습니다.

Spring Security

• Spring Security 말 그대로 보안과 관련한 주제이다. 보안의 주제에서는 인증과 인가에 대해서 빼놓고 얘기할수가 없다. 그래서 인증과 인가에 대해 간단한 정의를 알아보겠습니다.

인증 : 인증이란 유저 혹은 사용자의 신원을 입증하는 과정 이다.

인가 : 인가란 인증을 받은 유저 혹은 사용자가 어디 까지의 범위까지 허용할 것인지에 대한 의미 이다.

( EX : 건물의 1층만을 사용할수 있는 인증 (사원증)을 받은 사용자는 건물의 2층 3층을 사용할수 없다.)

---

이러한 예시를 간단한 게시판 웹 (Web) 으로 적용을 해보자면, 인증은 로그인을 하는 과정입니다.

로그인을 한 유저는 게시판에 글을 작성하거나 다른 사람의 글을 읽을수 있는 권한 즉 인가를 획득 할수 있습니다.
하지만 다른 사람이 작성한 글을 수정 할수는 없습니다.
(수정할수 있는 권한은 없기 때문)

JWT

JWT를 생성해서 Access Token을 만들게 됩니다.

• Access Token은 만료 기한을 두어서 해킹을 방지할수 있습니다.
• 만료 기한을 둔다는 것은 사용자도 불편함을 겪을수 있습니다. 그래서 나온 개념이 Refresh Token 이라는 개념입니다. Access Token이 생성할때 Refresh Token도 한번에 만드는 것입니다.

➡ Access Token은 Refresh Token 보다 만료 기한을 짧게 설정하며, Access Token이 만료되었을때 Refresh Token 을 통해 접근 하고 다시 Access Token의 만료 기한을 갱신하게 됩니다.

!! 토큰 관리를 해줘야한다. 결국 토큰도 탈취 당할수 있습니다.

REFERENCE

https://velog.io/@jkijki12/Jwt-Refresh-Token-%EC%A0%81%EC%9A%A9%EA%B8%B0 (Refresh Token 관련)

마무리

프로젝트 들어가면서 깔끔하고 심도있게 정리해야겠다