Access Token과 Refresh Token 문제
252
작성한 질문수 4
예전에 토큰 기반 인증 구현하면서 Access Token과 Refresh Token 문제점에 대해 고민해본 적이 있었습니다.
만약 Refresh Token을 탈취 당한다면 해커가 Access Token을 재발급 받을 수 있으므로 Access Token만을 사용했을 때와 똑같은 문제가 발생할 거라고 생각합니다. 그래서 당시에 프론트 측 개발자에게 물어봤을 때에는 Refresh Token에 Http Only 옵션이나 Secure 옵션을 해주면 된다고 이런 식으로 들었던 것 같은데, 그럼 애시당초 Access Token만을 사용하고 거기에 그런 옵션들을 해주면 번거롭게 Refresh Token을 사용할 필요도 없을 것 같다는 생각이 들었습니다.
강의를 수강하면서 Refresh Token의 효용성에 대해 의문이 다시 생기게 되었는데, 실무에서는 어떻게 Refresh Token 탈취 문제를 해결하고 있는지 궁금합니다.
답변 1
2
안녕하세요 사유님 ㅎㅎ
Refresh Token에 Http Only 옵션이나 Secure 옵션을 해주면 된다고 이런 식으로 들었던 것 같은데,
>> 두 토큰 모두 해당 옵션은 필수입니다.
탈취 문제 해결
>>
먼저 Access Token의 수명을 짧게 설정하여 탈취된 토큰의 유효 기간을 최소화합니다. 짧은 수명의 Access Token을 사용하고, 필요할 때만 Refresh Token을 통해 새로운 Access Token을 발급받습니다.
그리고 Refresh Token을 사용할 때 추가적인 사용자 인증 단계를 요구할 수 있습니다. 예를 들어, 사용자가 민감한 작업을 수행하려고 할 때 추가 인증(2단계 인증 등)을 요구할 수 있고 Refresh Token을 사용할 때 토큰을 발급받은 IP 주소 및 디바이스 정보를 확인하여, 동일한 조건에서만 토큰을 사용할 수 있도록 제한하는 방법을 씁니다.
또 질문 있으시면 언제든지 질문 부탁드립니다.
좋은 수강평과 별점 5점은 제게 큰 힘이 됩니다. :)
감사합니다.
강사 큰돌 올림.
REST API (Self-descriptive messages)
0
25
1
시스템 엔지니어 관련 질문입니다.
0
52
2
오버라이딩 관련하여 질문드립니다.
0
62
2
교착상태의 4가지 필요조건이 필요충분조건이 아닌 이유
0
89
1
렌더 트리, 렌더 레이어와 그래픽 레이어
0
57
2
로컬스토리지, 세션스토리지, 쿠키의 공통점
0
68
1
IPv4가 IPv6보다 빠른 경우
0
98
2
UDP가 전송계층의 역할을 못하는 건 아닌지
0
59
1
Path MTU 발견하였음에도 패킷 분할이 필요한 이유?
0
65
2
교재의 LFU 알고리즘에서 6번이 왜 히트인가요?
0
64
2
페이지 교체 알고리즘? 프레임 교체 알고리즘?
0
81
2
Static 키워드가 메모리에 올라가는 시점
0
77
2
헤더 압축부분 질문드립니다
0
72
2
공유 캐시 관련 질문 드립니다.
0
56
2
컨텍스트는 context와 contextual information으로 나눠진다는게 무슨뜻인가요?
0
199
1
회선과 대역폭의 관계
0
61
2
44강 질문
0
93
2
버스 토폴로지 질문 있씁니다
0
55
1
자바스크립트, xml 문법 관련
0
66
2
전략패턴과 의존성주입 질문
0
69
2
Model이 비즈니스 로직을 담당하나요?
0
106
2
CS 공부 하는 법
0
181
2
큰돌님 블로그에 개념정리해서 올려도될까요!
0
137
2
FIN 세그먼트 질문
0
70
2