반응형
Jake Seo
제이크서 위키 블로그
Jake Seo
전체 방문자
오늘
어제
  • 분류 전체보기 (715)
    • 일상, 일기 (0)
    • 백준 문제풀이 (1)
    • 릿코드 문제풀이 (2)
    • 알고리즘 이론 (10)
      • 기본 이론 (2)
      • 배열과 문자열 (8)
    • 데이터베이스 (15)
      • Planet Scale (1)
      • MSSQL (9)
      • 디비 기본 개념 (1)
      • SQLite 직접 만들어보기 (4)
    • 보안 (7)
    • 설계 (1)
    • 네트워크 (17)
      • HTTP (9)
      • OSI Layers (5)
    • 회고 (31)
      • 연간 회고 (2)
      • 주간 회고 (29)
    • 인프라 (52)
      • 도커 (12)
      • AWS (9)
      • 용어 (21)
      • 웹 성능 (1)
      • 대규모 서비스를 지탱하는 기술 (9)
    • 깃 (7)
    • 빌드 도구 (7)
      • 메이븐 (6)
      • 그레이들 (0)
    • Java (135)
      • 이펙티브 자바 (73)
      • 자바 API (4)
      • 자바 잡지식 (30)
      • 자바 디자인 패턴 (21)
      • 톰캣 (Tomcat) (7)
    • 프레임워크 (64)
      • next.js (14)
      • 스프링 프레임워크 (28)
      • 토비의 스프링 (6)
      • 스프링 부트 (3)
      • JPA (Java Persistence API) (5)
      • Nest.js (8)
    • 프론트엔드 (48)
      • 다크모드 (1)
      • 노드 패키지 관리 매니저 (3)
      • CSS (19)
      • Web API (11)
      • tailwind-css (1)
      • React (5)
      • React 새 공식문서 요약 (1)
      • HTML (Markup Language) (5)
    • 자바스크립트 (108)
      • 모던 자바스크립트 (31)
      • 개념 (31)
      • 정규표현식 (5)
      • 코드 스니펫 (1)
      • 라이브러리 (6)
      • 인터뷰 (24)
      • 웹개발자를 위한 자바스크립트의 모든 것 (6)
      • 팁 (2)
    • Typescript (49)
    • 리눅스와 유닉스 (10)
    • Computer Science (1)
      • Compiler (1)
    • IDE (3)
      • VSCODE (1)
      • IntelliJ (2)
    • 세미나 & 컨퍼런스 (1)
    • 용어 (개발용어) (16)
      • 함수형 프로그래밍 용어들 (1)
    • ORM (2)
      • Prisma (2)
    • NODEJS (2)
    • cypress (1)
    • 리액트 네이티브 (React Native) (31)
    • 러스트 (Rust) (15)
    • 코틀린 (Kotlin) (4)
      • 자바에서 코틀린으로 (4)
    • 정규표현식 (3)
    • 구글 애널리틱스 (GA) (1)
    • SEO (2)
    • UML (2)
    • 맛탐험 (2)
    • 리팩토링 (1)
    • 서평 (2)
    • 소프트웨어 공학 (18)
      • 테스팅 (16)
      • 개발 프로세스 (1)
    • 교육학 (1)
    • 삶의 지혜, 통찰 (1)
    • Chat GPT (2)
    • 쉘스크립트 (1)
    • 컴파일 (2)
    • Dart (12)
    • 코드팩토리의 플러터 프로그래밍 (4)
    • 플러터 (17)
    • 안드로이드 스튜디오 (1)
    • 윈도우즈 (1)
    • 잡다한 백엔드 지식 (1)
    • 디자인 패턴 (1)

블로그 메뉴

  • 홈
  • 태그
  • 방명록

공지사항

인기 글

태그

  • serverless computing
  • 싱글톤 패턴
  • Java
  • 자바스크립트
  • 싱글턴
  • 느린 쿼리
  • 자바스크립트 면접
  • 자바 디자인패턴
  • try-with-resources
  • 추상 팩터리 패턴
  • 프로그래머의 뇌
  • 작업기억공간
  • 메이븐 페이즈
  • 메이븐 라이프사이클
  • Pre-rendering
  • item8
  • 자료구조
  • Next.js
  • 객체복사
  • 플라이웨이트패턴
  • 외래키 제약조건
  • Javadoc 자바독 자바주석 주석 Comment
  • 빈 검증
  • 스프링 검증
  • bean Validation
  • 도커공식문서
  • 이펙티브자바
  • 슬로우 쿼리
  • 이펙티브 자바
  • 자바
  • 싱글톤
  • prerendering
  • NEXT JS
  • 토비의 스프링
  • 디자인패턴
  • 알고리즘
  • 자바스크립트 인터뷰
  • 팩터리 메서드 패턴
  • 메이븐 골
  • pnpm
  • next js app
  • 러스트
  • item7
  • rust
  • 참조 해제
  • 자바 검증
  • 이펙티브 자바 item9
  • item9
  • MSSQL
  • 서버리스 컴퓨팅

최근 댓글

최근 글

티스토리

hELLO · Designed By 정상우.
Jake Seo

제이크서 위키 블로그

보안

리프레시 토큰 (refresh token) 을 사용하는 이유를 알아보자

2022. 10. 13. 21:11

개요

앱이나 웹에서 인증을 구현할 때 token 을 같이 보내는 방식으로 구현하는 경우가 많다.
단, 그럴 때 인증 토큰 외에 refresh token 이라는 것을 함께 보내기도 한다. 이렇게 하는 이유는 뭘까?

리프레시 토큰 (refresh token) 을 사용하는 이유

access token 의 취약점

  • access token 과 같은 모든 토큰에는 탈취라는 취약점이 존재한다.
  • 탈취를 방지하기 위해 보통 access token 은 짧은 유효기간 (ex. 30분) 을 가지고 있다.
  • 만일 유효기간이 존재하지 않는다면, 해커는 한번 탈취한 계정의 토큰을 평생 이용할 수 있을 것이다.

이렇게 토큰에 유효기간을 주는 것은 보안적으로는 장점이지만, 일반 이용자는 토큰이 만료될 때마다 다시 ID 와 패스워드를 인증해야 하는 등의 불편함이 생긴다.

보안을 강화한 refresh token 을 이용하여 편의성을 증대

  • 이러한 불편을 해소하기 위해서 refresh token 이라는 것을 발급한다.
  • 이 refresh token 은 탈취에 매우 민감하여, 암호화된 저장소에 존재하고 또한 등록된 기기에서만 작동하는 경우가 많다.
    • 이를테면, 구글은 보통 한번 로그인 해두면 브라우저를 껐다 켜거나 심지어 컴퓨터를 껐다 켜도 로그인이 풀리지 않는다. 이는 디바이스 단에서 refresh token 과 같은 것을 보유중이기 때문에 가능한 것이다.
    • 구글은 DB 에 해당 refresh token 을 이용 가능한 디바이스를 DB 와 같은 곳에 저장해놓는다.
    • 보안을 위해 구글 이용 중 새로운 기기로 구글 계정 로그인을 시도하면 처음 이용되는 기기의 경우엔 휴대폰 인증 등을 해야하는 경우를 종종 본적이 있을 것이다.
    • 이로 인해, 탈취 당하더라도 기기가 다르다면 문제가 생기지 않는다.
반응형
저작자표시 비영리 (새창열림)

'보안' 카테고리의 다른 글

Authentication 앞에 Basic 혹은 Bearer 를 붙이는 이유 (인증 방식)  (1) 2024.01.13
스프링 시큐리티에서 Authority 와 Role 의 차이는?  (2) 2023.12.05
Method Security of 스프링 시큐리티  (0) 2022.05.07
CSRF 공격 정리 (feat. 스프링 시큐리티)  (0) 2022.05.03
JWT(Json Web Token) 이란 무엇이며 왜 사용하는가?  (0) 2022.05.03
    '보안' 카테고리의 다른 글
    • Authentication 앞에 Basic 혹은 Bearer 를 붙이는 이유 (인증 방식)
    • 스프링 시큐리티에서 Authority 와 Role 의 차이는?
    • Method Security of 스프링 시큐리티
    • CSRF 공격 정리 (feat. 스프링 시큐리티)
    Jake Seo
    Jake Seo
    ✔ 잘 보셨다면 광고 한번 클릭해주시면 큰 힘이 됩니다. ✔ 댓글로 틀린 부분을 지적해주시면 기분 나빠하지 않고 수정합니다. ✔ 많은 퇴고를 거친 글이 좋은 글이 된다고 생각합니다. ✔ 간결하고 명료하게 사람들을 이해 시키는 것을 목표로 합니다.

    티스토리툴바