정책
|
Access Token |
Refresh Token |
| 유효 기간 |
매우 짧게(시간 의논) |
길게(시간 의논) |
| 저장 위치 |
로컬 스토리지 |
HTTP Only, Secure 쿠키 |
| 용도 |
사용자 인증 |
Access Token 재발급 |
기법
RTR(Refresh Token Rotation)
- 클라이언트 애플리케이션이 액세스 토큰을 갱신할 때마다 새로운 리프레시 토큰을 발급받도록 하는 방법
- 특징
- Access Token을 받아올 때 새로운 Refresh Token을 받아온다.
- Refresh token이 1회용 → 재사용 되면 토큰이 유출되었음을 감지 가능
- 장점
- 토큰 탈취 방지
- 연속적인 사용자 경험
- Access Token을 받아올 때 새로운 Refresh Token을 받아옴으로 로그인 상태 유지 기간이 늘어남
시나리오
<aside>
💡 Token이 정상이다 ( = Token이 조작되지 않았다)
</aside>
Case1. Access token 정상 O
- 이상적인 Case
- Refresh 토큰은 상관 X
|
Access token |
Refresh token |
| 정상 |
O |
- |
| 만료 |
X |
- |
Case2. Access Token이 정상 O, 만료 O / Refresh Token이 정상 O, 만료 X
