세션 (2) 썸네일형 리스트형 [JWT] 토큰 인증을 제대로 설계해보자 KDT 최종 프로젝트를 진행할 때 회원 인증에 대해서 피드백을 받았을 때, 어째서 리프레시 토큰을 쿠키에 저장하는지, 액세스 토큰을 발급할 때마다 새로운 리프레시 토큰을 생성하는지에 대해서 멘토님께 설명드리지 못했습니다.그 때의 아쉬움이 남아서 같은 상황이 생기면 더 좋은 답변을 할 수 있도록 글을 작성했습니다.1. 리프레시 토큰을 사용하는 이유만약에 직원이 출입증을 잃어버렸다면 다음 절차가 이루어질 것입니다.먼저, 출입증을 재발급하고 기존에 사용하던 출입증은 정지해야 합니다.데이터베이스에 정지할 토큰을 기록하는 방법이 있지만, 이는 JWT의 이점을 흐리게 만듭니다.그래서 일반적으로 토큰의 유효기간을 짧게 설정하여 탈취당하더라도 공격자가 이용할 수 있는 시간을 제한합니다.하지만, 유효기간이 짧은 액세스 .. [JWT] 누구인지 확인하고 권한 부여하기 진행중인 미니 프로젝트를 하면서 무언가 찝찝함을 느꼈습니다.클라이언트가 API를 통해 로그인하지만, 다음 요청을 보내면 서버는 누가 보냈는지 알 수 없습니다.주문을 하려면 계속 로그인을 시도해야 하는 악질 사이트네요.클라이언트의 신원을 검증하는 것을 인증이라고 하고,인증 후에 클라이언트가 어떤 자원에 접근할 수 있는지 확인하는 것을 인가라고 합니다.이번 포스트에서는 인증 방식 중 하나인 JWT에 대해서 알아보겠습니다.🔑 토큰 기반 인증사용자를 인증하기 위해서 서버에서 인증 정보를 관리하는 것을 세션 기반 인증이라고 합니다.이 방법은 사용자가 증가하면 유지해야 하는 정보가 많아지기 때문에 성능에 이슈가 생길 수 있습니다.이를 극복하기 위해서 토큰 기반 인증을 눈 여겨 볼 수 있습니다.토큰 기반 인증은 토.. 이전 1 다음
