refreshtoken1 [TIL]20230713 - RefreshToken 오늘은 기존 진행하던 프로젝트에 리프레쉬 토큰을 적용해보았다. JWT는 Stateless한 방식이기 때문에 클라이언트의 토큰이 탈취당하면 서버에서는 알 방법이 없어 공격자가 탈취한 토큰을 가지고 접근할 수 있다는 단점이 있었다. 이 단점을 보안하기 위한 방법으로는 토큰의 만료시간을 적게 주는 방법이 있다. 하지만 만료시간이 적으면 그만큼 자주 토큰을 발급 받아야하기 때문에 사용자의 불편함을 초래할 수 있다. 이에 제안된것이 리프레쉬 토큰이다. 사용자가 로그인 성공시 Access 토큰과 Refresh토큰을 발급해주고 사용자는 인가가 필요한 요청시 Access토큰과 Refresh토큰을 Header에 담아 요청한다. 우선 Access토큰을 검사하여 검증이 된다면 그대로 인가를 받고 만약 Access토큰이 만료.. 2023. 7. 14. 이전 1 다음