댕도네냥 프로젝트를 하게되면서 access token 과 refresh token, 두개의 토큰을 다루게 되었다. JWT 토큰 인증방식은 제 3자에게 토큰 탈취가 쉬워질 수 있고, 이렇게 되면 보안상 취약점이 드러나는 단점이 있기에 토큰 유효기간을 부여하여 보안을 강화한다. 토큰의 유효기간이 짧으면 보안에 뛰어날 수 있겠지만 사용자는 매번 로그인을 다시해야하기에 불편함을 느낀다. 따라서 여기서 사용하는 것이 refresh token을 사용한 토큰 리프레시이다. 우리는 해당 프로젝트에서 다음과 같은 토큰 인증 플로우를 사용했다. 요약하자면 access token 보다 유효기간이 긴 refresh token을 추가하여 access token을 재발급 한다. refresh token이 만료되는 경우에는 다시 ..

프로젝트를 본격적으로 들어가기전 ! 토큰 사용을 조금 유기적으로 해보기 위해 JWT 토큰에 대해 알아봤다. Access Token 발급된 이후, 서버에 저장되지 않고 토큰 자체 사용자 권한을 인증한다. 만약, Access Token이 탈취되면 토큰 만료 전까지 토큰을 획득한 사람은 누구나 접근이 가능하다. JWT는 발급한 후 삭제가 불가능하다. 때문에 토큰에 유효시간을 부여하는 식으로 탈취 문제에 대응하여야한다. 토큰 탈취 문제에 대응하고자 유효시간을 짧게 유지한다면 유저에게 굉장히 불편한 경험을 줄 수 있다. 토큰의 유효시간이 짧아진만큼 사용자는 로그인을 자주해 새롭게 토큰을 받아야하기때문에.. 사용자에게 불편한 경험을 주지 않고자 유효시간을 늘려버리면 토큰을 탈취당했을 때 보안이 취약해지게 된다. 이..