슬라임's 리뷰 세상

JWT 갱신 토큰을 클라이언트 측에서 관리하는 일반적인 방법 중 하나는 로컬 스토리지 또는 쿠키에 갱신 토큰을 저장하는 것입니다. 로컬 스토리지를 사용하는 경우, 갱신 토큰은 클라이언트의 브라우저 로컬 스토리지에 저장됩니다. 이렇게 하면, 웹 페이지가 리로드되거나 브라우저가 닫히더라도 토큰이 유지됩니다. 클라이언트는 API 요청을 보낼 때 로컬 스토리지에서 갱신 토큰을 가져와서 요청에 포함시키면 됩니다. 쿠키를 사용하는 경우, 갱신 토큰은 쿠키에 저장됩니다. 쿠키를 사용하면 서버가 클라이언트에게 쿠키를 자동으로 설정하고, 브라우저는 그 후의 모든 요청에 자동으로 쿠키를 포함시킵니다. 쿠키를 사용하는 것은 CSRF(Cross-Site Request Forgery) 공격에 대한 보호를 제공하지만, XSS(C..

JWT (JSON Web Tokens) 인증 시스템에서 토큰을 무효화하는 방법 중 하나는 블랙리스트(blacklist)를 사용하는 것입니다. 이 방법은 특정 토큰을 무효화하기 위해 그 토큰을 블랙리스트에 추가하는 것을 의미합니다. 블랙리스트를 사용하는 이유 JWT는 상태가 없는(stateless) 인증 메커니즘이기 때문에, 서버는 클라이언트로부터 전달받은 토큰이 유효한지만 확인하면 됩니다. 이로 인해 서버는 세션을 관리할 필요가 없어져서, 확장성이 향상되는 장점이 있습니다. 하지만 이런 장점에도 불구하고 JWT 인증 시스템에서는 아직 해결해야 하는 문제가 있습니다. 그 중 하나가 바로 "토큰의 무효화" 문제입니다. 예를 들어, 만약 토큰이 탈취당한 경우, 이 토큰이 만료되기 전까지는 탈취자가 이 토큰을 ..

갱신 토큰(refresh token)은 사용자가 로그인한 후에 주로 액세스 토큰(access token)을 갱신하기 위해 사용됩니다. 이러한 갱신 토큰은 보통 만료 시간이 오래 걸리거나 만료되지 않게 설정됩니다. 사용자가 로그아웃하거나 세션을 종료할 때까지 유효한 토큰을 제공하는 것이 목표입니다. 갱신 토큰을 관리하는 방법은 여러 가지가 있습니다. 아래에 몇 가지 일반적인 방법을 설명하겠습니다. 1. 데이터베이스에 저장: 이 방법은 갱신 토큰을 데이터베이스에 저장하고, 토큰을 이용해 액세스 토큰을 갱신할 때마다 데이터베이스를 조회하여 토큰의 유효성을 확인하는 방법입니다. 이 방법은 갱신 토큰이 탈취당했을 경우, 토큰을 데이터베이스에서 삭제함으로써 무효화할 수 있다는 장점이 있습니다. 2. 블랙리스트 사용..

JWT 토큰을 사용하는 경우, 보통은 사용자 세션을 갱신하거나 관리하는데 필요한 특별한 단계가 없습니다. 왜냐하면 JWT는 stateless하며, 토큰이 만료되기 전까지는 사용자 인증 정보를 포함하고 있기 때문입니다. 그러나 만약 사용자가 로그아웃하거나 세션을 갱신해야 하는 경우에는 몇 가지 옵션이 있습니다. 1. 토큰 만료시간 짧게 설정하고 갱신 토큰 사용: 액세스 토큰의 만료시간을 짧게 (예: 15분) 설정하고, 별도의 갱신 토큰(refresh token)을 발급하여 사용합니다. 사용자가 로그인을 하면, 둘 다 발급됩니다. 액세스 토큰은 사용자 인증을 위한 짧은 기간 동안 사용하고, 만료되면 갱신 토큰을 사용하여 새 액세스 토큰을 발급받습니다. 2. 토큰 만료 체크 및 갱신: 클라이언트는 액세스 토큰..