Search
Duplicate

[WEB] Access Token & Refresh Token 이해 with JWT

생성일
2022/11/15 07:19
태그
web
tech
JWT
AccessToken
RefreshToken
공개여부

Refresh Token이란?

Access Token 만을 통한 인증 방식의 문제는 만일 제 3자에게 탈취당할 경우 보안에 취약하다는 점이다.
Access Token은 발급된 이후, 서버에 저장되지 않고 토큰 자체로 검증을 하며, 사용자 권한을 인증하기 때문에, Access Token이 탈취되면 토큰이 만료되기 전 까지, 토큰을 휙득한 사람은 누구나 권한 접근이 가능해 지기 때문이다.
JWT 발급한 후 삭제가 불가능하기 때문에, 접근에 관여하는 토큰에 유효시간을 부여하는 식으로 대응한다.
유효기간은 짧으면서 사용자의 로그인 횟수를 줄이는 것이 가장 좋은 방법인데, 답은 Refresh Token이다.
Refresh 토큰도 JWT와 마찬가지로 JWT이며, 단지 Access Token은 접근에 관여하는 토큰이라면, Refresh 토큰은 재발급에 관여하는 토큰이므로 역할이 다르다.
예를 들어 처음 로그인 시, 서버는 로그인을 승인하면서, 클라이언트에게 Access Tocken과 Refresh Token을 동시에 발급한다.
서버는 DB에 Refresh Token을 저장하고, 클라이언트는 Access Token과 Refresh Token을 쿠키,세션 혹은 웹스토리지에 저장하고 요청이 있을때마다 이 둘을 헤더에 담아서 보낸다.
Refresh Token은 긴 유효기간을 가지며, Access Token이 만료됐을 때, 새로 재발급 해주는 열쇠가 된다.
따라서 만일 만료된 Access Token을 서버에 보내면, 서버는 같이 보내진 Refresh Token을 DB에 있는것과 비교해서 일치하면 다시 Access Token을 재발급하는 간단한 원리이다.
그리고 사용자가 로그아웃을 하면 저장소에서 Refresh Token을 삭제하여, 사용이 불가능하도록 하고 새로 로그인하면 서버에 다시 재발급해서 DB에 저장한다.
사용 예시
Refresh Token 유효기간 2주, Access Token의 유효기간은 1시간.
사용자는 API 요청을 하다가 1시간이 지나게 되면, 가지고 있는 Access Token은 만료 되게 된다.
그러면 Refresh Token의 유효기간 전까지는 Access Token을 새롭게 발급받을 수 있게된다.
즉, Refresh Token 접근에 대한 권한을 주는 것이 아니라 Access Token 재발급에만 관여하는 것이다.
만일 Refresh Token의 유효기간이 만료되었다면, 사용자는 다시 로그인해야한다.
Refresh Token 역시 탈취 가능성이 있기 때문에 적절한 유효기간 설정이 필요하다.

Access, Refresh 토큰 재발급 원리

1.
로그인 시 두개의 토큰 모두 발급한다.
Refresh Token만 서버측의 DB에 저장하며, Refresh Token과 Access Token을 쿠키 혹은 웹스토리지에 저장한다.
2.
사용자가 인증이 필요한 API에 접근하고자 하면 가장 먼저 토큰을 검사함.
토큰을 검사함과 동시에 각 경우에 대해서 토큰의 유효기간을 확인하여 재발급 여부를 결정한다.
case1 : 두개의 토큰 모두 만료 ⇒ 재 로그인 메시지 ⇒ 두개 모두 새로 발급
case2 : access 토큰은 만료, refresh 토큰 유효 ⇒ refresh 토큰을 검증하여 access 토큰 발급
case3 : access 토큰은 유효, refresh 토큰은 만료된 경우 ⇒ access token을 검증하여 refresh token 재발급
3.
로그아웃 시 두개의 토큰 모두 만료시킨다.

Refresh Token 인증 과정

1.
사용자: 사용자 로그인
2.
서버: DB를 통해 사용자 인증
3.
서버: 인증이 되면 Access token과 Refresh Token 발급
4.
서버: 발급한 토큰으로 응답
5.
사용자: Access token을 사용해 API 요청
6.
서버: Access Token 검증
7.
서버: 요청 데이터 응답
8.
Access Token 만료
9.
사용자: 만료된 Access Token을 사용해 API 요청
10.
서버 : Access Token 만료 확인
11.
서버 : Access Token 만료 신호
12.
사용자 : Access Token 발급 요청(Access Token,Refresh Token)
13.
서버 : Refresh Token 확인 후, 새로운 Access Token 발급 및 응답
Access Token 만료마다 이 과정을 반복할 필요는 없다. 사용자의 Access Token의 Payload를 통해 유효기간을 알 수 있으며 API 요청하여 만료 신호를 받기전에 미리 검증하여 재발급 요청을 서버로 보낼 수 있음.

같은 태그의 다른 글 보기

Search
WEB
Redis
nginx를 사용하여 이미지 서버를 구축해보려 한다.
아래 글을 보면 사용이유가 자세히 나와있다.
서버를 구축하기 전에 Nginx에 대해 알아보자.

Nginx란?

Nginx란 /Nginx사용하여 이미지 서버 구축 Windows10

인코딩이란?

인코딩이란 정보의 형태나 형식을 표준화, 보안, 처리 속도 향상, 저장 공간 절약 등을 위해서 다른 형태나 형식으로 변환하는 처리 혹은 그 처리 방식을 말한다.

Base64 인코딩이란?

Base64란 64진법이란 의미이다. 컴퓨터 분야에서 쓰이는 base64는 실행 파일이나 압축 파일 같은 8비트 이진 데이터를 문자 코드에 영향 받지 않는 공통 ASCII 영역의 문자들로만 이루어진 문자열로 바꾸는 인코딩 방식을 가리키는 개념이다.
인코딩 과정은 다음과 같다.
1.
24비트의 버퍼를 생성하여 위쪽부터 바이트 데이터를 넣은 뒤,
2.
버퍼 위쪽부터 6비트 단위로 자른다.
3.
base64 변환표의 ASCII 문자로 변환한다.
원본 문자열 ⇒ ASCII binary ⇒ 6비트로 자름 ⇒ base64 encoding
ex) Man ⇒ 77 97 110 ⇒ 01001101 01100001 01101110 ⇒ TWFu
[WEB] Base64 인코딩이란?
현장실습을 진행하면서 토큰이 필요했다.
access token, refresh token이 필요한건 아니고 , api에 접근하는 c# 프로그램이 있는데 이 프로그램이 api에 접근하기 위한 토큰이 필요했다.
만약 이렇게 하지 않는다면 url만 알면 누구든지 그 api에 접근할 수 있었기 때문에 적절한 인증 수단이 필요했다.
간단한 로직으로
secret 키를 서버 env에 저장하고, 토큰의 expiresIn을 10만일(약 300년)로 설정하여 무기한 사용하게 했다.
그렇게 발급된 토큰을 클라이언트만 사용하는 프로그램에 내장하여 api로의 외부접근을 막게했다.
물론 c# 프로그램이 내장된 장비가 분실될 수 도 있는 경우의 수도 있는데 그 경우 token의 secretkey만 바꿔서 재발급 하면 해결 할 수 있다고 생각한다. 또 한 서버 해킹의 경우의 수가 있는데 서버가 해킹당하면 token이 의미가 있나? 라는 생각으로 위와 같은 로직을 구성했다.
사용한 라이브러리는 jsonwebtoken 으로 간단하게 로직을 구성할 수 있었다.
create-token.js
verify.js
[WEB,NEXTJS] JWT 토큰 무제한 사용

Refresh Token이란?

Access Token 만을 통한 인증 방식의 문제는 만일 제 3자에게 탈취당할 경우 보안에 취약하다는 점이다.
Access Token은 발급된 이후, 서버에 저장되지 않고 토큰 자체로 검증을 하며, 사용자 권한을 인증하기 때문에, Access Token이 탈취되면 토큰이 만료되기 전 까지, 토큰을 휙득한 사람은 누구나 권한 접근이 가능해 지기 때문이다.
JWT 발급한 후 삭제가 불가능하기 때문에, 접근에 관여하는 토큰에 유효시간을 부여하는 식으로 대응한다.
유효기간은 짧으면서 사용자의 로그인 횟수를 줄이는 것이 가장 좋은 방법인데, 답은 Refresh Token이다.
Refresh 토큰도 JWT와 마찬가지로 JWT이며, 단지 Access Token은 접근에 관여하는 토큰이라면, Refresh 토큰은 재발급에 관여하는 토큰이므로 역할이 다르다.
예를 들어 처음 로그인 시, 서버는 로그인을 승인하면서, 클라이언트에게 Access Tocken과 Refresh Token을 동시에 발급한다.
서버는 DB에 Refresh Token을 저장하고, 클라이언트는 Access Token과 Refresh Token을 쿠키,세션 혹은 웹스토리지에 저장하고 요청이 있을때마다 이 둘을 헤더에 담아서 보낸다.
Refresh Token은 긴 유효기간을 가지며, Access Token이 만료됐을 때, 새로 재발급 해주는 열쇠가 된다.
따라서 만일 만료된 Access Token을 서버에 보내면, 서버는 같이 보내진 Refresh Token을 DB에 있는것과 비교해서 일치하면 다시 Access Token을 재발급하는 간단한 원리이다.
그리고 사용자가 로그아웃을 하면 저장소에서 Refresh Token을 삭제하여, 사용이 불가능하도록 하고 새로 로그인하면 서버에 다시 재발급해서 DB에 저장한다.
사용 예시
Refresh Token 유효기간 2주, Access Token의 유효기간은 1시간.
사용자는 API 요청을 하다가 1시간이 지나게 되면, 가지고 있는 Access Token은 만료 되게 된다.
그러면 Refresh Token의 유효기간 전까지는 Access Token을 새롭게 발급받을 수 있게된다.
즉, Refresh Token 접근에 대한 권한을 주는 것이 아니라 Access Token 재발급에만 관여하는 것이다.
만일 Refresh Token의 유효기간이 만료되었다면, 사용자는 다시 로그인해야한다.
Refresh Token 역시 탈취 가능성이 있기 때문에 적절한 유효기간 설정이 필요하다.

Access, Refresh 토큰 재발급 원리

1.
로그인 시 두개의 토큰 모두 발급한다.
Refresh Token만 서버측의 DB에 저장하며, Refresh Token과 Access Token을 쿠키 혹은 웹스토리지에 저장한다.
2.
사용자가 인증이 필요한 API에 접근하고자 하면 가장 먼저 토큰을 검사함.
토큰을 검사함과 동시에 각 경우에 대해서 토큰의 유효기간을 확인하여 재발급 여부를 결정한다.
case1 : 두개의 토큰 모두 만료 ⇒ 재 로그인 메시지 ⇒ 두개 모두 새로 발급
case2 : access 토큰은 만료, refresh 토큰 유효 ⇒ refresh 토큰을 검증하여 access 토큰 발급
case3 : access 토큰은 유효, refresh 토큰은 만료된 경우 ⇒ access token을 검증하여 refresh token 재발급
3.
로그아웃 시 두개의 토큰 모두 만료시킨다.

Refresh Token 인증 과정

1.
사용자: 사용자 로그인
2.
서버: DB를 통해 사용자 인증
3.
서버: 인증이 되면 Access token과 Refresh Token 발급
4.
서버: 발급한 토큰으로 응답
5.
사용자: Access token을 사용해 API 요청
6.
서버: Access Token 검증
7.
서버: 요청 데이터 응답
8.
Access Token 만료
9.
사용자: 만료된 Access Token을 사용해 API 요청
10.
서버 : Access Token 만료 확인
11.
서버 : Access Token 만료 신호
12.
사용자 : Access Token 발급 요청(Access Token,Refresh Token)
13.
서버 : Refresh Token 확인 후, 새로운 Access Token 발급 및 응답
Access Token 만료마다 이 과정을 반복할 필요는 없다. 사용자의 Access Token의 Payload를 통해 유효기간을 알 수 있으며 API 요청하여 만료 신호를 받기전에 미리 검증하여 재발급 요청을 서버로 보낼 수 있음.

같은 태그의 다른 글 보기

[WEB] Access Token & Refresh Token 이해 with JWT

인증 방식 종류(Cookie, Session, Token)

서버가 클라이언트 인증을 확인하는 방식은 대표적으로 쿠키, 세션 토큰 3가지 방법이 있다.

Cookie 인증

쿠키는 key-value 형식의 문자열이다.
클라이언트가 어떤 웹사이트를 방문 시, 그 사이트가 사용하고 있는 서버를 통해 클라이언트의 브라우저에 설치되는 작은 기록 정보 파일 이다.
각 사용자의 브라우저에 정보를 저장하니 고유 정보 식별이 가능하다.

쿠키 인증 방식

1.
브라우저가 서버에 요청을 보낸다.
2.
서버는 클라이언트의 요청에 대한 응답을 작성할 때, 클라이언트 측에 저장하고 싶은 정보를 응답 헤더의 Set-Cookie에 담는다.
3.
이후 해당 클라이언트는 요청을 보낼 때 마다, 매번 저장된 쿠키를 요청 헤더의 Cookie에 담아 보낸다.
[WEB]인증 방식의 종류(Cookie, Session, Token)