1. 리프레시 토큰 재발급에 관한 내용 및 건의

현재 서버 기본 설정(최초 설치시) 억세스 30분 / 리프레시 14일로 설정 되어있습니다. 하지만, 리프레시를 통한 재발급 시 리프레시 시간도 같이 늘어납니다

이렇게 되면, 사실상 14일의 의미가 없이 무제한 리프레시 토큰이 되게 됩니다. 아 물론 이전 리프레시는 사용할 수 없지만요

또한 14일도 무의미하다고 판단하는 근거는 억세스가 30분이면, 30분이 지나면 만료가 되어 로그인이 필요한 시스템에선 사실상 로그아웃이 된 상태인데

이 상태에서 다시 리프레시를 통해 재발급 하는거면 14일이 아닌 마치 31분과도 동일하죠 재발급 안하면 로그아웃 하는거니깐요 (근데 프론트로 개발할 때 그렇게 안하는게 일반적이죠)

리프레시 + 억세스 모두 만료가 되어야 로그아웃 처리 하는 게 많으니깐요 쨋든 이렇게 30분이 되었던 1분이 되었던 1초가 되었던 리프레시로 재발급이 되면, 다시 리프레시 만료 기간이 늘어납니다

리프레시 만료 기간 자체는 내가 설정한 env 기준으로 고정을 하고 리프레시 토큰 + 억세스만 재발급 하고 유효기간은 고정 되는게 좋을 것 같아 건의 드립니다. 서버 기준 14일 동안은 사용자에 한해 무제한으로 재발급이 되지만, 14일 이후에는 로그아웃 > 재로그인 하는 형태 ?

2. 억세스 토큰 데이터 베이스 저장에 관한 내용 및 건의

• 불량 회원이 있다고 가정 했을 때 이 사람을 강제로 로그아웃 시킬 방법이 없습니다. 그래서, 데이터 베이스 내 혹은 관리자 화면에서 억세스 토큰 + 리프레시 토큰을 강제로 만료 시키고 관리자 회원 정보에서 접근 금지던 탈퇴던 해버리면, 강제로 사이트 운영자가 불량 회원을 로그아웃 시킬 수 있을 것입니다. 이미 로그인을 블럭(접근 차단) 해봤자, 이미 토큰이 발급된 사용자에게는 무의미하기 때문입니다.

쉽게 표현해서 회원 가입 + 로그인 함 > 토큰 발급 > 광고 글 막 쓰기 > 접근 차단 완료 > 이미 토큰이 있기 때문에 계속 해서 광고글 작성 가능.....

일단 생각나는 건 2가지네요 ㅎ