• 카테고리

    질문 & 답변

  • 세부 분야

    모바일 앱 개발

  • 해결 여부

    미해결

refreshToken 활용한 로그인 로직에 대한 궁금증

23.06.12 12:36 작성 조회수 325

0

안녕하세요.
jwt를 발급할 때 refresh와 aceess 토큰에 담긴 페이로드는 동일할까요 ?

accessToken의 탈취 당했을 때를 대비해서 accessToken의 만료기한 을 짧게두고 refreshToken의 만료기한을 길게 두는 것으로 알고 있는데,

refreshToken이 탈취당했을 때 refreshToken으로도 사이트에 인가된다면 굳이 이 두개를 나누는 의미가 없을 것 같은데,,

현업에서는 어떠한 식으로 이뤄지는지 궁금합니다..

course-thumbnail

[코드팩토리] [중급] Flutter 진짜 실전! 상태관리, 캐시관리, Code Generation, GoRouter, 인증로직 등 중수가 되기 위한 필수 스킬들!

Refresh 토큰과 Access 토큰

강의실 바로가기

답변 1

답변을 작성해보세요.

0

코드팩토리님의 프로필

코드팩토리

지식공유자

2023.06.12

안녕하세요!

토큰 탈취의 가능성은 언제나 있습니다.

하지만 refresh token의 경우 access token보다 덜 자주 사용되기때문에 노출이 조금 더 적다는 장점이 있습니다.

조금 더 보안을 좋게하려면 refresh token으로 accessToken을 발급 받을때마다 refresh token도 로테이션 해주는 방법이 있습니다.

또한, 글로벌한 기업들의 경우 토큰 사용 패턴 분석을 통해 악용사례를 찾아내고 토큰을 invalidate 시키기도 합니다. 하지만 이런 방법들의 경우 매우 돈이 많이 들고 인력이 많이 필요한 부분입니다.

토큰 관리가 매우 엄격해야하다면 Auth0 같은 글로벌 컴플라이언스를 모두 지키는 업체를 이용하는것도 좋은 방법입니다.

감사합니다!

성수님의 프로필

성수

질문자

2023.06.15

이해했습니다!
그동안 계속 궁금증이었는데 잘 해결되었습니다. 감사합니다.

이 글과 비슷한 Q&A