액세스 토큰 재발급 관련하여 질문이 있습니다.

Question

안녕하세요 강의 잘 듣고 있습니다. 액세스 토큰이 만료되었다고 가정했을 때 프론트에서 특정 API(예시. post 조회)를 호출하면 토큰이 만료되었다는 에러 메시지를 받죠. 그러면 앱에서 토큰만료 리스폰스가 도착하면 토큰을 재발급 받은 후 다시 post를 조회하는 API를 호출하는건가요?? 고객의 입장에서는 위 내용을 알 필요가 없을 것 같아서요. (c. 클라이언트, s.서버) C.API 호출 -> [ S.만료되었다는 익셉션 -> C.재발급 요청 -> S.토큰 재발급 -> C.다시 API호출 ] -> S.응답 반환 위 순서도에서 대괄호 친 부분은 클라이언트에서 알아서 다시 처리하는건지 궁금합니다.

코드팩토리 · Answer

안녕하세요! 액세스 토큰을 재발급하는 과정에서 실제 사용자가 관여를 하는지에대한 질문이 맞을까요? 프론트엔드에서 재발급을 구현하는 "일반적인" 과정에는 사용자의 개입이 없습니다. 로직은 매우 간단합니다. JWT 토큰은 암호화된게 아니라 인코딩된 형태이기 때문에 내부 내용을 프론트에서도 뜯어 볼 수 있습니다. 대표적으로 두가지 방법을 생각 해볼 수 있습니다. 1) Access Token이 필요한 요청을 보낼때마다 만료 메세지가 반환될경우 Refresh Token으로 Access Token 재발급 후 이전 요청을 재요청하는 interceptor 로직 작성. 2) 백그라운드에서 Access Token의 만료 기간을 주기적으로 체크하며 만료되기 어느정도 전에 재발급 요청. 저는 개인적으로 1번만 사용합니다. 나중에 프론트엔드를 배우게되시면 알게 되시겠지만 백엔드와 크게 다를게 없습니다. 노출할 필요 없는 abstraction은 프론트도 굳이 노출하지 않습니다. 감사합니다!