JWT TOKEN의 만료시간을 갱신해줄순 없나요?
2928
작성한 질문수 4
안녕하세요, 강의 너무 감사합니다.
JWT를 처음 로그인시에 발급할 때 만료시간을 정하는 과정에서,
토큰을 계속 쓰는 상황이라면 토큰의 유효시간을 갱신시켜줘야 불편함이 없을것 같은데, JWT토큰은 만료시간이 지나면 다시 무조건 로그인을 해줘야 하는걸까요?
구글에 검색해보았을때, refresh token 과 accesstoken의 개념이 나오긴 하는데, 따로 api 적으로 갱신하는건 없는지 여쭤봅니다.
아 추가로.,.. jwt 생성시에 subject라는게 있는데 현업에서 보통 어떤 용도로 사용되나요??
답변 1
0
subject는 토큰 제목이라 임의로 그냥 정하면 되요.
토큰의 종류가 많을때 구분할때 사용하면 되구요.
refresh token 과 accesstoken의 개념으로 시간을 갱신해야 되요.
가장 좋은 로직은 accesstoken 만료시간을 짧게 해요. 그래야 토큰 탈취 당해도 보안적으로 좋아요.
그리고 accesstoken을 가지고 사용자가 요청할 때 시간이 만료되면 그 사용자의 refreshtoken을 db에 저장해뒀다가 그걸 가져와서 다시 accesstoken을 만들어서 응답해주면 되요.
이때 DB에 둬도 되고, 메모리 DB인 레디스에 둬서 사용해도 되요.
저는 개인적으로 그냥 짧게 시간잡고 만료시 재 로그인 요청을 받아요. 젤 안전하긴 하거든요.
stateless에 철학을 잘 지키면서요!
JWT를 구현한 다음 이 API를 호출해서 사용하는 것은 프론트엔드 쪽에서 하는 역할인가요?
0
114
1
Jwt쓰면 스프링시큐리티는 필수적으로 사용해야하나요?
0
419
1
13:23 system.out 출력문이 다르게 나옵니다.
0
136
1
수료증 문의
0
249
2
9분대에 질문이 있습니다 !
0
128
1
password 비교를 하지 않았는데 어떻게 인증이 통과된 건가요?
0
327
1
이전 강의 참고하라는 말씀
0
258
1
강의 실습하다가 막히는 분들 참고(2024년8월 기준)
2
1131
2
구글 소셜 로그인 302
0
206
1
오류 문의 _ org.springframework.orm.jpa.JpaSystemException: could not deserialize
1
592
1
[자바] 시큐리티 Config 참고
13
960
1
이론강의
0
286
1
SpringSecurity JWT 로그인 URL 2개 설정하는 방법
0
498
1
2024.06기준) 최근 SecurityConfig 설정 문의
0
942
3
구글 로그인시 authentication이 null 값이라고 에러가 발생합니다.
0
692
2
특정 url필터 거는 방법 이슈
0
432
1
강사님께서 말씀하시는 시큐리티세션이 SecurityContext인가요?
0
281
1
25강 마지막 테스트에서 오류
1
1051
2
jwt를 저장하는 위치에 궁금한 점이 있습니다.
0
306
1
mustache를 사용하지 않고 thymeleaf를 사용하려고 하는데
0
704
1
세션 인증방식이 REST 원칙에 위배되는 건가요?
0
345
1
jwt와 실제데이터의 관계
1
250
1
jwt 와 세션ID의 관계
1
318
1
SecurityConfig에서 세션 설정, 인가 설정
0
426
1