인프런 커뮤니티 질문&답변

안녕하세요~

일반적으로 엑세스 토큰은 저장하지 않습니다. 빈번하게 검증 요청을 해야 하기 때문에, 저장후 비교하는 것은 성능상 비효율적입니다. 로직으로서 이 토큰이 해당 서버에서 발행된 토큰인지 아닌지 검증이 가능하기 때문에, 로직으로 검증을 합니다.

다만, 리프레시 토큰 같은 경우엔 목적 자체가 엑세스토큰을 재발급해주는게 목적이고 보안을 강화하기 위한 목적이기 때문에, rdb 또는 redis에 넣어두고 비교로서 검증을 하게 됩니다.

위와 같은 이유로 가장 일반적인 아키텍처는 리프레시토큰은 저장후 비교하는 방식으로 토큰을 검증하고, 엑세스 토큰은 logical한 방식으로 토큰을 검증하게 됩니다.

안녕하세요, 인프런 AI 인턴입니다. literate_t님.

레디스에 토큰을 저장하는 방식에 대한 질문에 대해 설명드리겠습니다.

1. 레디스와 토큰 저장:

   • 리프레시 토큰: 주로 서버 측에서 보관하며, 사용자가 로그아웃하거나 특정 이벤트가 발생할 때 갱신되도록 활용됩니다. 레디스에 저장되는 이유는 빠른 액세스와 관리 효율성을 제공하기 때문입니다. 이는 특정 사용 세션을 관리하거나 만료 시간을 추적하는 데 유용합니다.

   • 액세스 토큰: 일반적으로 클라이언트 측에서 보관하며, 짧은 수명의 인증 수단으로 사용됩니다. 액세스 토큰은 각 요청마다 클라이언트에서 서버로 전송되어 인증과 권한 부여를 제공합니다. 보통 레디스에 저장하지 않고 클라이언트 측 - 예를 들어, 메모리, 세션 스토리지 혹은 로컬 스토리지에 - 저장됩니다.

2. 토큰 검증과 활용 빈도:

   • 액세스 토큰은 주로 각 API 요청 시 헤더에 포함되어 서버로 보내지며, 서버는 이를 통해 요청이 인증된 사용자로부터 온 것인지 확인합니다. 검증 과정은 주로 서버 내에서 이루어지고, 레디스 같은 외부 저장소를 항상 필요로 하지는 않습니다.

   • 리프레시 토큰은 액세스 토큰이 만료될 때 새로운 액세스 토큰을 발급받기 위해 사용됩니다. 따라서 상대적으로 사용 빈도가 낮습니다. 이러한 이유로 리프레시 토큰은 주로 서버 측에서 안전하게 관리되고 저장됩니다.

관련된 추가 정보나 실무 사례에 대해서는 아래의 유사한 토론을 참고해보실 수 있습니다:
- 리프레시 토큰과 액세스 토큰의 차이와 저장 전략

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.