AccessToken과 RefreshToken


AccessToken만 쓸 경우에, 만료시간을 길게 잡기때문에 토큰 탈취를 당했을때, 피해가 커진다.

해킹 피해를 최소화 하기 위해 AccessToken 만료시간을 줄이고 RefreshToken으로 AccessToken을 재발급받는다고 배웠다.

그런데, 같은 토큰으로 사용하면, 탈취당한다는 것은 똑같지 않나? 라는 의문이 들어 찾아보았다.

구글에 검색했을때는 배운것과 거의 비슷하게 피해를 줄일 수 있지만, refreshToken이 탈취당하면 어쩔 수 없다? 라는 식으로 있고, 간혹가다 refreshToken은 별 효과 없다는 글도 보았다.

그래서 의문이 해소가 안되어서 튜터님께 여쭈어보았다.

전부 다 기억하지는 못하지만 기억나는걸 간단히 써보자면, RefreshToken을 사용하면 여러가지를 조합해서 더 검증을 까다롭게 할 수 있다는 것이었다.!!

끝!

태그:

카테고리:

업데이트:

참고