OAuth Flow가 이해가 안됩니다.
본문
안녕하세요. 간단한 질문이 있는데요! oauth api를 사용할때, access_token과 refresh_token이 있는데 access_token은 만료 기간이 있어 사용하다 만료 되면 refresh_token으로 access_token을 새롭게 갱신해서 사용하는걸로 알고 있는데, 모든 api 요청때 마다 새롭게 access_token을 발급받아서 사용하면 어떤 문제가 있나요? 왜 refresh_token이란게 필요한가요? 궁금합니다.
답변 1
매번 access_token 을 발급하는 서버비용의 증가가 있을 수 있겠죠.
만료된 access_token 을 갱신하는 흐름도 입니다.
+--------+ +---------------+
| |--(A)------- Authorization Grant --------->| |
| | | |
| |<-(B)----------- Access Token -------------| |
| | & Refresh Token | |
| | | |
| | +----------+ | |
| |--(C)---- Access Token ---->| | | |
| | | | | |
| |<-(D)- Protected Resource --| Resource | | Authorization |
| Client | | Server | | Server |
| |--(E)---- Access Token ---->| | | |
| | | | | |
| |<-(F)- Invalid Token Error -| | | |
| | +----------+ | |
| | | |
| |--(G)----------- Refresh Token ----------->| |
| | | |
| |<-(H)----------- Access Token -------------| |
+--------+ & Optional Refresh Token +---------------+
감사합니다
답변을 작성하시기 전에 로그인 해주세요.
