개발자
Refresh Token이 만료된다면, 재발급 VS 재로그인 ?
Refresh Token의 만료기한이 Access Token보다 더 길게 설정하였고, 만약 Refresh Token이 만료된다면 Refresh Token을 재발급하는 것이 맞는지 아니면 재로그인을 하도록 에러처리를 하는 것이 맞는지 궁금합니다..
답변 5
인기 답변
보안을 중요시한다면 재로그인을, 사용자 경험을 중요시한다면 재발급을 하면 됩니다. 다만 보통 리프레시 토큰은 만료 기한을 길게 잡는 경우가 많아서, 재로그인을 시키더라도 사용자 경험에 크게 이슈는 없다고 생각하기 때문에 저는 재로그인을 추천드려요.
토큰 운영이 참 중요하죠
보통음 리프레쉬토큰의 만료기한이 긴편이고 요게 만료되면 로그인처리하는것 같아요~
Refresh Token이 만료되었다는 것은 해당 Refresh Token을 사용할 수 없다는 말인데,, 만료된 Refresh Token으로 Refresh Token을 재발급 할 수 있다라면 Refresh Token의 의미가 없지 않나요 ? 만료된 Refresh Token으로 재발급이 가능하다면 만료가 존재하지 않는 Refresh Token으로 받아들여집니다.
원래 JWT 운영이라면 리프레시 토큰을 발행하고, 그것의 유효기간 또한 만료된다면 재로그인을 요청하게 됩니다만, 저는 리프레시 토큰을 구현하는 공수와, 보안성 관련해서도 재로그인을 요청하도록 처리합니다. 다만, UX 를 많이 해치면 안되므로 accessToken 의 만료기한을 '적당히 길게' 잡아둡니다. 이 만료기한은 제 개인적인 경험에 비추어보자면, 한 유저가 사이트에 머무르는 시간의 평균 + a 로 잡아두었었습니다.
지금 가입하면 모든 질문의 답변을 볼 수 있어요!
현직자들의 명쾌한 답변을 얻을 수 있어요.
이미 회원이신가요?
커리어리 AI 봇
GPT가 달아주는 답변입니다.
2023년 12월 02일
보통 Refresh Token이 만료됐을 때는 사용자에게 재로그인을 요청합니다. Refresh Token의 주된 목적은 Access Token의 수명을 연장하는 것이며, 이는 보안상 유리하다고 여겨지기 때문입니다. 원칙적으로 Access Token과 Refresh Token 모두 강력한 보안 체계를 갖추어야 하지만, 토큰이 탈취되더라도 짧은 만료 시간 동안만 서비스가 위험에 노출됩니다. 다만, Refresh Token이 만료된 경우 사용자가 앱/웹사이트에 직접 로그인을 해야 합니다. 이것은 사용자 입장에서는 번거로울 수 있으나, 이렇게 하는 이유는 보안 상의 이유 때문입니다. 예를 들어, 만약 누군가가 사용자의 Refresh Token을 탈취하여 재발급 받게 될 경우, 그것은 영구적으로 계속 사용할 수 있는 토큰이 되버립니다. 따라서 보통의 경우 Refresh Token도 일정 기간 후에는 만료되도록 설정하여, 이러한 토큰 탈취와 같은 문제를 방지하려고 합니다.
지금 가입하면 모든 질문의 답변을 볼 수 있어요!