작성
·
493
답변 1
0
안녕하세요!
토큰 탈취의 가능성은 언제나 있습니다.
하지만 refresh token의 경우 access token보다 덜 자주 사용되기때문에 노출이 조금 더 적다는 장점이 있습니다.
조금 더 보안을 좋게하려면 refresh token으로 accessToken을 발급 받을때마다 refresh token도 로테이션 해주는 방법이 있습니다.
또한, 글로벌한 기업들의 경우 토큰 사용 패턴 분석을 통해 악용사례를 찾아내고 토큰을 invalidate 시키기도 합니다. 하지만 이런 방법들의 경우 매우 돈이 많이 들고 인력이 많이 필요한 부분입니다.
토큰 관리가 매우 엄격해야하다면 Auth0 같은 글로벌 컴플라이언스를 모두 지키는 업체를 이용하는것도 좋은 방법입니다.
감사합니다!
이해했습니다!
그동안 계속 궁금증이었는데 잘 해결되었습니다. 감사합니다.