Access Token과 Refresh Token

Access Token

목적: API 자원에 직접 접근할 때 사용.
유효 시간: 짧음 (예: 수분에서 수시간). 이는 보안 위험을 최소화하기 위함입니다.
포함 정보: 사용자 식별자, 세션 정보, 사용자 권한 등. 이 정보는 자원 서버가 클라이언트의 요청을 인증하고 권한을 확인하는 데 필요합니다.

Refresh Token

목적: Access Token이 만료되었을 때 새로운 Access Token을 발급받기 위해 사용.
유효 시간: 길음 (예: 수일에서 수주). 이는 사용자가 자주 로그인을 반복하는 번거로움을 줄이기 위함입니다.
포함 정보: 일반적으로 토큰을 재발행할 수 있는 최소한의 정보만 포함. 예를 들어, 사용자 식별자와 토큰의 유형 정도만 포함할 수 있습니다.

이 두 토큰은 서로 다른 유효 시간과 정보를 담고 있기 때문에, 각각의 사용 목적에 맞게 활용됩니다. Access Token은 자원 접근을 위한 직접적인 권한을 제공하고, Refresh Token은 보다 안전하게 오래 지속되는 인증 세션을 유지하는 데 사용됩니다. 이러한 구분은 사용자의 안전과 편의를 동시에 보장하기 위한 중요한 보안 전략입니다.