[Spring Security] Access Token+ Refresh Token을 이용한 인증

💡 Access Token+ Refresh Token을 이용한 인증

• Access Token을 이용한 인증 방식의 문제는 해커에게 탈취당할 경우 보안에 취약하다는 점
• 토큰의 유효기간을 짧게 하면 사용자는 로그인을 자주 해야해서 번거롭고, 길게하면 보안이 취약해지기 때문에 이를 해겨라고자 나온 것이 Refresh Token
• Refresh Token은 Access Token과 같은 형태의 JWT
• Refresh Token은 Access Token보다 긴 유효기간을 가지고, Access Token이 만료됐을 때, 새로 발급해주는 열쇠가 됨

→ ex) Refresh Token의 유효기간이 2주, Access Token의 유효기간이 1시간이라면 2주 동안 Access Token이 만료되는 1시간 주기마다 Access Token을 새롭게 발급받을 수 있음

인증 순서

1. 사용자가 로그인을 합니다.
2. 서버에서는 회원 DB에서 값을 비교합니다.
3. 로그인이 완료되면 Access Token, Refresh Token을 발급
4. HTTP 응답 헤더에 실어 보냄. 이때 일반적으로 회원 DB에 Refresh Token을 저장
5. 사용자는 Refresh Token을 안전한 저장소에 저장 후, Access Token을 HTTP 요청 헤더에 실어 요청을 보냄
6. Access Token을 검증
7. 이에 맞는 데이터를 보냄
8. 시간이 지나 Access Token이 만료
9. 사용자는 이전과 동일하게 Access Token을 HTTP 요청 헤더에 실어 보냄
10. 서버는 Access Token이 만료됨을 확인
11. 권한 없음을 신호로 보냄
12. 사용자는 Refresh Token과 Access Token을 HTTP 요청 헤더에 실어 보냄
13. 서버는 받은 Access Token이 조작되지 않았는지 확인한 후, HTTP 요청 헤더의 Refresh Token과 사용자의 DB에 저장되어 있던 Refresh Token을 비교. Token이 동일하고 유효기간도 지나지 않았다면 새로운 Access Token을 발급
14. 서버는 새로운 Access Token을 HTTP 응답 헤더에 실어 다시 API 요청을 진행

장점

• Access Token의 유효 기간이 짧기 때문에, 기존의 Access Token만을 이용한 인증보다 안전

단점

• 구현이 복잡
• Access Token이 만료될 때마다 새롭게 발급하는 과정에서 서버의 자원 낭비가 생김