refreshToken 활용한 로그인 로직에 대한 궁금증
575
작성한 질문수 2
안녕하세요.
jwt를 발급할 때 refresh와 aceess 토큰에 담긴 페이로드는 동일할까요 ?
accessToken의 탈취 당했을 때를 대비해서 accessToken의 만료기한 을 짧게두고 refreshToken의 만료기한을 길게 두는 것으로 알고 있는데,
refreshToken이 탈취당했을 때 refreshToken으로도 사이트에 인가된다면 굳이 이 두개를 나누는 의미가 없을 것 같은데,,
현업에서는 어떠한 식으로 이뤄지는지 궁금합니다..
답변 1
0
안녕하세요!
토큰 탈취의 가능성은 언제나 있습니다.
하지만 refresh token의 경우 access token보다 덜 자주 사용되기때문에 노출이 조금 더 적다는 장점이 있습니다.
조금 더 보안을 좋게하려면 refresh token으로 accessToken을 발급 받을때마다 refresh token도 로테이션 해주는 방법이 있습니다.
또한, 글로벌한 기업들의 경우 토큰 사용 패턴 분석을 통해 악용사례를 찾아내고 토큰을 invalidate 시키기도 합니다. 하지만 이런 방법들의 경우 매우 돈이 많이 들고 인력이 많이 필요한 부분입니다.
토큰 관리가 매우 엄격해야하다면 Auth0 같은 글로벌 컴플라이언스를 모두 지키는 업체를 이용하는것도 좋은 방법입니다.
감사합니다!
Isar 마지막 업데이트는 2년전입니다.
0
31
0
FlutterSecureStorage 질문
0
32
0
Dio onError Interceptor 만드는 부분에 질문이 있습니다.
0
80
2
관리자 기능에 대한 질문
0
100
2
part 'restaurant_model.g.dart';
0
92
1
36강. dio 인터셉터에 storage를 전달하는 코드가 이해 안되는데요. 도움 부탁드립니다.
0
56
2
2번 반환 상황 관련 질문
0
61
2
riverpod 3.0
0
140
2
Asset folder??
0
83
2
디자이너와 협업 시 프레임 크기 설정 관련 질문
0
114
2
FutureProvider, StateNotifierProvider 선택 기준
0
70
2
컴포넌트 모델화
0
64
2
쿼리 파라미터
0
84
2
화면 안보임
0
68
2
PaginationListView
0
54
1
강의중 37.Dio onErrorInterceptor 작업하기 dio 관련 질문입니다.
0
103
2
프로토타입이미지
0
62
2
여러 객체를 상태 관리하는 방법에 대한 질문
0
85
2
장바구니 결제하기 응답이 500이 옵니다.
0
105
2
removeFromBasket에서 await patchBasket()을 마지막에 하면 에러나는거 아닌가요?
0
67
2
이 두가지는 완전히 동일한 기능인가요?
0
106
3
내부 코드를 작성하지 않은 CursorPaginationLoading가 어떻게 로딩상태를 갖는지 잘 모르겠습니다...
0
77
2
_SplashScreenState에서 storage를 late로 호출해서 한번만 불러와도 되나요?
0
86
2
코딩 작성 순서 관련 질문
0
88
2