TIL (Access Token & Refresh Token)

Access Token & Refresh Token

 

 

 

1. Access Token

- Access Token은 사용자가 인증에 성공했음을 증명하는 토큰입니다. 주로 API 요청 시 서버가 클라이언트를 식별하고 권한을 부여하는 데 사용됩니다. 

- Access Token은 사용자 인증에 필요한 모든 정보를 가지고 있기 때문에 토큰을 가지고 있는 시간이 늘어날 수록 토큰이 탈취 되었을때 피해 규모가 커진다는 단점을 가진다.

- 이러한 단점을 보완하기위해 우리는 RefreshToken과 함께 AccessToken을 사용한다.

 

2. Refresh Token

- Refresh Token은 서버 측에 저장되며, 이를 통해 사용자가 다시 로그인하지 않고도 새로운 Access Token을 받을 수 있다.

- Access Token보다 유효기간이 길며 Access Token이 만료되었을 때 Refresh Token을 이용하여 재발급 받는다.

 

발급 구조

 

 

*JWT(Json Web Token)?

- Jwt란 인터넷 표준 인증 방식으로, 서버와 클라이언트 사이에서 정보를 안전하게 전송하기 위해 도움을 주는  웹 토큰이다.

- Jwt의 구조는 header, payload, signature 로 구성되어 있다.

- Jwt는 비밀키를 모르더라도가지고 있는 사람이면 누구나 복호화 할 수 있다.

jwt구조와 복호화

 

 

 

 

 

***참조이미지 출처

JWT accessToken 과 refreshToken 을 어떻게 활용해야할까? (velog.io)