세션 타임아웃과 refresh token

Question

학습하는 분들께 도움이 되고, 더 좋은 답변을 드릴 수 있도록 질문전에 다음을 꼭 확인해주세요.

1. 강의 내용과 관련된 질문을 남겨주세요.
2. 인프런의 질문 게시판과 자주 하는 질문(링크)을 먼저 확인해주세요.
(자주 하는 질문 링크: https://bit.ly/3fX6ygx)
3. 질문 잘하기 메뉴얼(링크)을 먼저 읽어주세요.
(질문 잘하기 메뉴얼 링크: https://bit.ly/2UfeqCG)

질문 시에는 위 내용은 삭제하고 다음 내용을 남겨주세요.
=========================================
[질문 템플릿]
1. 강의 내용과 관련된 질문인가요? (예/아니오)
2. 인프런의 질문 게시판과 자주 하는 질문에 없는 내용인가요? (예/아니오)
3. 질문 잘하기 메뉴얼을 읽어보셨나요? (예/아니오)

[질문 내용]
기존에 JWT의 access token과 refresh token 플로우를 알고 있는 상태에서 세션관련 강의를 듣다보니까 의문점이 생겼습니다. 강의에서 세션은 세션 타임아웃 설정을 통해 예를 들어 접속할때마다 세션 유효 기간을 30분씩 늘리는 방식으로 사용하여 세션 탈취로부터 보안을 강화하고 사용자의 빈번한 재로그인을 방지합니다.

그렇다면 여기서 JWT도 세션과 유사하게 refresh token을 사용하지 말고 accesstoken을 통해 서버에 접근할때마다 유효시간을 30분씩 늘리는 방식으로 동작하면 더 효율적일거 같은데 굳이 refresh token을 활용하는 이유가 있을까요??

BeakGwa · Answer

저도 동일하게 궁금해서 정리한 개인적인 의견을 한번 공유드립니다. (개인 의견 가득)

1. 탈취되었을때를 가정하여, accessToken이 탈취될 경우, 지속적인 유효기간 연장 작업으로, 탈취자는 무한정 접근 권한을 가질 수 있습니다. 이는 보안이슈로 큰 문제가 될 것으로 생각됩니다.
- 본 강의에서 나오는 session 타임아웃 연장 또한 같은 문제 있을 것으로 생각. 현업에서는 동일한 방식으로 연장 하는지, 새로운 session을 생성하는지는 저도 의문입니다.

2. 1번의 보안이슈를 해결하기 위해서, 로그인시 발급한, refresh token으로 새로운 access token을 발급하여 client에게 전달합니다. 이때 이전에 발급한 access token은 사용이 불가능 합니다.
- 짧은 expired time을 설정하여, 이미 발급된 access token이 탈취당한 상황을 우려, refresh token을 사용하여 새로운 인증token을 발급하여 보안이슈 회피