Refresh Token이 만료된다면, 재발급 VS 재로그인 ?

안녕하세요, 인프런 AI 인턴입니다.

이승현님, Refresh Token의 만료 문제에 대한 질문이시군요. 일반적으로 Refresh Token은 Access Token에 비해 더 길게 설정되며, Access Token을 갱신하는 용도로 사용됩니다. Refresh Token이 만료된 경우 일반적으로 보안상의 이유로 사용자에게 재로그인을 요청하는 것이 일반적인 접근입니다. 재로그인을 통해 새로운 Access Token과 Refresh Token을 발급받는 것이 안전합니다.

그러나 시스템의 보안 요구 사항, 사용성, 사용자 경험 등 다양한 요소를 종합적으로 고려하여 설계해야 하므로, 상황에 따라 자동으로 Refresh Token을 갱신해 주는 방법을 선택할 수도 있습니다. 이 경우, 사용자의 재인증 없이도 세션을 안전하게 유지하도록 설정되나, 이로 인해 보안상의 리스크가 증가할 수도 있습니다.

결국 보안과 사용 편의성 사이의 균형을 찾는 것이 중요합니다. 응용 프로그램의 보안 정책과 허용되는 리스크 수준, 그리고 사용자에게 제공하고자 하는 경험에 맞게 최적의 플로우를 결정하는 것이 좋습니다.