Refresh Token

Refresh token의 장점

• 본인은 원래 API 요청 시 매번 Access Token을 발급하는 식으로 API를 구성하였는데, 이렇게 구성할 경우 사용자가 많아질 수록 시스템 부하가 증가한다. 따라서 Refresh Token을 발급하는 것이 낫다.
• 또한, refresh token이 있을 경우 access token의 유효 시간을 짧게 하여 탈취 시 빠르게 무효화 시킬 수 있다.

 

Refresh token의 동작

• Access Token을 통해 User가 request를 보내고, 유효 시간이 만료 되었다는 응답을 받는다.
• User는 Access Token고 함께 Refresh Token을 서버로 보낸다.
• Refresh Token이 유효하다면 유효시간이 갱신된 Access Token이 새로 발급되어 User에게 전달된다.

 

Refresh token의 저장 위치

• refresh token은 쿠키가 아닌 client 자체에 저장하는 것으로 동작한다.
  • 쿠키에 있는 access token이 탈취되어도 refresh 토큰은 탈취되면 안되기 때문
  • refresh token만 가지고 있으면 access token은 발급할 수 있으므로 보안에 더욱이 신경써야 한다.

https://hini7.tistory.com/210

Token 저장 위치