[Spring Security] Access Token+ Refresh Token을 이용한 인증
·
Web & Android/Spring Security
💡 Access Token+ Refresh Token을 이용한 인증 Access Token을 이용한 인증 방식의 문제는 해커에게 탈취당할 경우 보안에 취약하다는 점 토큰의 유효기간을 짧게 하면 사용자는 로그인을 자주 해야해서 번거롭고, 길게하면 보안이 취약해지기 때문에 이를 해겨라고자 나온 것이 Refresh Token Refresh Token은 Access Token과 같은 형태의 JWT Refresh Token은 Access Token보다 긴 유효기간을 가지고, Access Token이 만료됐을 때, 새로 발급해주는 열쇠가 됨 → ex) Refresh Token의 유효기간이 2주, Access Token의 유효기간이 1시간이라면 2주 동안 Access Token이 만료되는 1시간 주기마다 Access..
[Spring Security] Access Token을 이용한 인증
·
Web & Android/Spring Security
💡 Access Token을 이용한 인증 JWT JSON Web Token의 약자 인증에 필요한 정보들을 암호화시킨 토큰을 말하며 Access Token으로 사용됨 JWT를 생성하기 위해선 Header, Payload, Verify Signature 객체를 필요로 함 Header 토큰의 타입을 나타내는 typ와 암호화할 방식을 정하는 alg로 구성됨 { 'alg': 'HS256', 'typ': 'JWT' } Paylod 토큰에 담을 정보를 포함 하나의 정보 조각을 클레임이라 부름 클레임의 종류 → Registered, Public, Private 3가지 존재 보통 만료 일시, 발급 일시, 발급자, 권한 정보 등을 포함 { 'sub': '1234567890', 'name': 'John Doe', 'admi..