프로그래밍
첫 페이지 회원가입 로그인
비공개 손님 2021-03-29 15:40:34
JWT든 뭐든... 토큰발급할 때 리프레시 토큰도 같이 주는 행위에 대해서

access token 은 만료기한을 짧게 주고
refresh token 은 기이이일게 줘서

refresh token 이 살아있으면 access token 을 갱신 해주는 식으로 사용하는데

이게 access token 을 탈취당할 염려가 있어서 이렇게 하는것 같더라구요 ?

refresh token은 탈취당할 염려가 없나여 ?

어디 안전한 곳에 짱박아놓는다고들 하는데

님들은 어디에 놓으시나요?

저는 클라이언트단은 안전하지 않다고 생각돼서 그냥 유저 디비에 업데이트 쳐줄까 싶다가도

유저가 뭐 할 때마다 DB서 뭐 받아오는게 싫어서 넘모 고민이 됩니다...


어디 좋은 방법 있으면 알랴주세여...ㅠ

질문 | 1518명이 읽었어요. 3.215.79.68 |

0
1 비공개 손님 2021-03-29 17:07:56
refresh token도 당연히 탈취당할 가능성이 있고, 그래서 서버측에서 탈취를 인지할 경우 refresh token을 만료 시키고 인증을 다시 요청할 수 있져. 보통은 걍 디비에 박아둠 (클라이언트도 로컬에 저장, 서버도 로컬에 저장)

진짜 보안이 중요한 경우는 결제 시스템들 처럼 결제 전에 인증을 다시 요구하는 간단한 방법이 있고
보안이 크게 중요치 않은 경우는 그냥 전통적인 access token + refresh token + @(슬라이딩 세션 등) 을 사용하면 크게 문제되는 경우들은 없을 것 같습니당

아니면 애초에 주고받는 데이터를 공개키 암호화 방식 써서 해두 되구영
2 비공개 손님 2021-03-29 18:25:44
1 오 감사합니다.
디비에 박아두는구나...
애초에 토큰 두개를 한 오브젝트에 넣어서 페어키로 암호화하고 보내면 탈취돼봤자 그걸 디코드해서 다시 원하는대로 만들어낼 수 없을테니 따로 뭘 안해도 되겠네여 !? 오... 암호화 짱짱 좋은것 같당.

답변 감사합니당!!
3 비공개 손님 2021-08-13 20:05:35
bearer authentication 이라고 하져
토큰 갖고있는놈이 보관 책임도 지라는 의미
댓글을 작성하실 수 없습니다.
(권한이 없는 회원레벨)
목록으로
△ 이전글: 장고 프로젝트, 앱 구조 질문 [2]
▽ 다음글: [개발자 깔깔유모어] 천지창조 [7]
이용약관 | 광고/제휴 | 개인정보취급방침 | 문의/신고 | 모바일 TE31 | 서버 부하 : 9.75%
실시간 Issue 커뮤니티 TE31 [알지롱] ⓒ 2002-2021
TOP arrow_upward