반응형

RefreshToken 2

[Spring 공식문서 정리] 27. JWT 인증 실무 설계 패턴 & 실수 모음

26편에서는 Stateless 인증 환경에서 Refresh Token이 왜 필요한지를 보안·운영·UX 관점에서 정리했습니다.이번 글에서는 그 개념을 실무 설계 패턴으로 구체화하고, 현장에서 자주 발생하는 실수 사례를 함께 정리해보겠습니다.1. 실무에서 가장 많이 쓰는 JWT 기본 패턴실무에서 가장 안정적으로 쓰이는 기본 패턴은 다음과 같습니다.Access Token: 짧은 만료(5~15분)Refresh Token: 긴 만료(2주~1개월)Access Token → Authorization 헤더Refresh Token → HttpOnly 쿠키이 패턴의 핵심은탈취 가능성이 높은 토큰과 보호가 필요한 토큰을 분리하는 것입니다.2. 패턴 #1 – Refresh Token Rotation가장 권장되는 보안 패턴입니..

[Spring 공식문서 정리] 26. Stateless 인증에서 Refresh Token은 왜 필요한가?

25편에서는 Security · MVC 실무 설정에서 자주 발생하는 실수들을 요청 흐름 기준으로 정리했습니다.이번 글에서는 JWT 기반 Stateless 인증 환경에서 항상 함께 등장하는 질문을 다뤄보겠습니다.Access Token만 쓰면 안 될까? 왜 굳이 Refresh Token이 필요할까?이 질문의 답은 편의성이 아니라 보안과 운영의 균형에 있습니다.1. Stateless 인증의 기본 전제JWT 기반 인증은서버가 인증 상태를 저장하지 않는다는 전제를 가집니다.즉,요청마다 토큰을 보내고요청마다 토큰을 검증합니다.이 구조는서버 확장에 유리하고세션 동기화가 필요 없으며클라우드 환경에 적합하지만, 토큰이 유출되면 바로 위험해진다는 단점도 함께 가집니다.2. Access Token만 사용할 때의 문제만약 A..

반응형