🔐Access Token 및 Refresh Token🔑

이 게시물은 액세스 토큰 및 새로 고침 토큰에 대한 간단한 연습입니다. 안전벨트를 매고 먼저 토큰에 대해 알아봅시다.😊

그렇다면 토큰이란 무엇입니까?

토큰은 사용자의 신원을 인증하거나 사용자에게 리소스 액세스 권한을 부여하는 프로세스를 수행하는 데 충분한 정보를 전달하는 데이터 조각입니다. 예를 들어, 공항에서 보안 검색대를 통과할 때 신분증을 제시하여 신원을 확인하면 좌석에 앉을 수 있습니다.

액세스 토큰과 새로 고침 토큰은 무엇입니까? 이미지 출처: google.com

갱신 토큰은 액세스 토큰을 갱신하는 데 사용되는 수명이 긴 토큰(OAuth2의 JWT)입니다. 액세스 토큰을 처음 받으면 새로 고침 토큰도 받을 가능성이 높습니다. 액세스 토큰은 수많은 취약점을 방지하기 위해 만료 기간이 며칠 또는 몇 달이 아닌 몇 시간으로 제한되어 수명이 짧습니다.

generateTokens(payload){
        const accessToken = jwt.sign(payload, JWT_ACCESS_TOKEN_SECRET,{
            expiresIn: '1h'
        })
        const refreshToken = jwt.sign(payload, JWT_REFRESH_TOKEN_SECRET,{
            expiresIn: '1y'
        })
        return {accessToken, refreshToken}
};

여기에서 generateTokens 함수가 사용자 ID인 페이로드를 가져오는 것을 볼 수 있습니다. jwt.sign() 함수는 메타데이터를 사용하여 고유한 토큰을 생성하는 데 사용됩니다. 받은 액세스 토큰과 새로 고침 토큰이 유효한 시간을 정의하는 expiresIn이라는 옵션이 있습니다. 액세스 토큰이 만료되면 의도한 리소스에 액세스하는 데 사용할 수 없습니다. 유효하지 않은 액세스 토큰이 포함된 API 요청의 경우 다음과 같은 오류 응답을 받게 됩니다.

HTTP/1.1 401 Unauthorized

그런 일이 발생하면 클라이언트는 작업을 계속하기 위해 다시 권한을 부여받고 또 다른 액세스 토큰을 받아야 하므로 사용자 경험이 좋지 않게 됩니다. 새로 고침 토큰이 그림에 나오는 곳입니다.

새로 고침 토큰은 액세스 토큰을 새로 고치지 않지만 액세스 토큰이 만료되면 서버에서 새로 고침 토큰을 확인하여 사용자를 위한 새 액세스 토큰을 생성합니다. 이 액세스 토큰으로 클라이언트는 작업을 계속하고 리소스에 액세스할 수 있습니다. 사용자를 방해하지 않기 위해 모두 백그라운드에서 발생합니다. 새로 고침 토큰은 새로 액세스 토큰을 얻기 위해 데이터베이스에 저장됩니다.

하지만 새로 고침 토큰이 만료되면 어떻게 될까요?

클라이언트는 새로 고침 토큰을 요청하고 서버는 사용자를 확인하고 새로 고침 토큰을 데이터베이스에 저장하고 클라이언트에 응답을 돌려 업데이트합니다.

감사.

자원

더 자세한 내용을 보려면 다음 리소스에 액세스할 수 있습니다.

https://oauth.net/articles/authentication/

https://auth0.com/docs/best-practices/token-best-practices

https://auth0.com/docs/tokens/json-web-tokens/json-web-token-structure