geonoo
commented
2 years ago Access Token(JWT)를 통한 인증 방식의 문제는 만일 제 3자에게 탈취당할 경우 보안에 취약 하다는 점이라고 들었다.
유효기간이 짧은 Token의 경우 그만큼 사용자는 로그인을 자주 해서 새롭게 Token을 발급받아야 하므로 불편하다. 그러나 유효기간을 늘리려면, 토큰을 탈취 당했을 때 보안에 더 취약해 진다.
Refresh Token은 Access Token과 똑같은 형태의 JWT인데, 처음에 로그인을 완료했을 때 Access Token과 동시에 발급되는 Refresh Token은 긴 유효기간을 가지면서, Access Token이 만료됐을 때 새로 발급해주는 열쇠가 되는 방식이라고 한다.
아래 블로그를 가면 자세히 나와있다.
Access Token, Refresh Token 구분해서 반환해주고, 해당 로직 적용해보기!