refresh_token 정보
refresh_token본문
질답에 refresh_token관련해서 올라와서..
예전 기억을 찾아 봤습니다.
지금도 이해가 잘 안되지만, refresh_token이 자주 나왔던 곳이 oauth서버를 운영하는 곳입니다.
그래서 그때 그누보드에 oauth 서버 붙이는 것도 해 봤던 기억이.. https://sir.kr/so_app/81
즉 냑이 oauth2.0서버를 돌리고, 모든 그누보드 설치자는 여기를 통해서 로그인을 할 수 있는 것이죠.
지금은 소셜로그인으로 구현되어 있죠. 이 소셜 로그인 해 주는 곳이 현재는 Oauth2.0서버가 있는 곳입니다.
https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
에 보면 아래와 같은 그림이 있습니다. oauth2.0(요즘은 OpenID Connect인가보네요) 서버가 아니라면,
억세스 토큰만 사용해도 되는 것 같습니다.
JWT의 취약성 때문인지 JWE (JSON Web Encryption ) 라는 용어가 보이네요
추천
1
1
댓글 1개
https://blog.naver.com/weekamp/222089852017 를 보면 Refresh token을 썼을 때의 장점은
로그인을 자주 안해도 되는 장점이 있네요.
그런데 Access token을 길게 발행해주면 되는데, 하나가 탈취되는 것 보다, 2개를 탈취당할 위험이 적어서 더 안전하다는 것인지..
하여간 한개보다는 2개가 더 안전하겠지만, 구현은 좀 더 어려워지겠네요.
미디엄에 나와 있는 자료는 다음에 필요할 때 읽어 봐야겠습니다.
https://medium.com/swlh/authentication-using-jwt-and-refresh-token-part-1-aca5522c14c8
https://medium.com/swlh/authentication-using-jwt-and-refresh-token-part-2-a86150d25152
로그인을 자주 안해도 되는 장점이 있네요.
그런데 Access token을 길게 발행해주면 되는데, 하나가 탈취되는 것 보다, 2개를 탈취당할 위험이 적어서 더 안전하다는 것인지..
하여간 한개보다는 2개가 더 안전하겠지만, 구현은 좀 더 어려워지겠네요.
미디엄에 나와 있는 자료는 다음에 필요할 때 읽어 봐야겠습니다.
https://medium.com/swlh/authentication-using-jwt-and-refresh-token-part-1-aca5522c14c8
https://medium.com/swlh/authentication-using-jwt-and-refresh-token-part-2-a86150d25152