csrf (1) 썸네일형 리스트형 [JWT] 토큰 인증을 제대로 설계해보자 KDT 최종 프로젝트를 진행할 때 회원 인증에 대해서 피드백을 받았을 때, 어째서 리프레시 토큰을 쿠키에 저장하는지, 액세스 토큰을 발급할 때마다 새로운 리프레시 토큰을 생성하는지에 대해서 멘토님께 설명드리지 못했습니다.그 때의 아쉬움이 남아서 같은 상황이 생기면 더 좋은 답변을 할 수 있도록 글을 작성했습니다.1. 리프레시 토큰을 사용하는 이유만약에 직원이 출입증을 잃어버렸다면 다음 절차가 이루어질 것입니다.먼저, 출입증을 재발급하고 기존에 사용하던 출입증은 정지해야 합니다.데이터베이스에 정지할 토큰을 기록하는 방법이 있지만, 이는 JWT의 이점을 흐리게 만듭니다.그래서 일반적으로 토큰의 유효기간을 짧게 설정하여 탈취당하더라도 공격자가 이용할 수 있는 시간을 제한합니다.하지만, 유효기간이 짧은 액세스 .. 이전 1 다음