TIL 20230705

Access Token 과 Refresh Token

 

Access Token 이란

Stateless(무상태) 즉, Node.js 서버가 죽었다 살아나더라도 동일한 동작을 하는 방식으로 jwt를 이용해 사용자의 인증 여부는 확인할 수 있지만 처음 발급한 사용자 본인인지 확인할 수 없다. Access Token은 그 자체로도 사용자를 인증하는 모든 정보를 가지고 있기 때문에 토큰을 가지고 있는 시간이 늘어날 수록 탈취되었을 떄는 피해가 더욱 커지게 된다.

 

Refresh Token 이란

사용자의 인증정보를 사용자가 가지고 있는 것이 아닌, 서버에서 해당 사용자의 정보를 저장소 또는 별도의 DB에 저장하여 관리한다. 그렇기 떄문에 서버에서 특정 Token 만료가 필요할 경우 저장된 Token 을 제거하여 사용자의 인증 여부를 언제든지 제어가 가능하다.