Refresh token의 장점 본인은 원래 API 요청 시 매번 Access Token을 발급하는 식으로 API를 구성하였는데, 이렇게 구성할 경우 사용자가 많아질 수록 시스템 부하가 증가한다. 따라서 Refresh Token을 발급하는 것이 낫다. 또한, refresh token이 있을 경우 access token의 유효 시간을 짧게 하여 탈취 시 빠르게 무효화 시킬 수 있다. Refresh token의 동작 Access Token을 통해 User가 request를 보내고, 유효 시간이 만료 되었다는 응답을 받는다. User는 Access Token고 함께 Refresh Token을 서버로 보낸다. Refresh Token이 유효하다면 유효시간이 갱신된 Access Token이 새로 발급되어 User..

개념 정리 내가 제공하는 서비스를 Client, 다른 서비스를 Resource Server, 두 서비스를 모두 이용하는 사용자를 Resource Owner라고 정의한다. 추가적으로 Resource Server에서 인증을 담당하는 서버를 따로 Authorization Server라고 한다. 이렇게 연합해서 인증체계를 제공하는 것을 federated Identity라고 부른다. 배경 Client가 Resource Server(google, facebook 등)에 있는 Resource Owner의 계정에 접속할 수 있는 방법은 무엇이 있을까? Resource Server에 대한 Resource Owner의 id, pw를 제공받으면 더 좋겠지만 보안 신뢰 문제가 있다. 따라서 oAuth가 나왔다. oAuth를 ..