일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 항해99
- 스웨거
- visualvm
- Spring Security
- 프로그래머스
- DB
- 시큐리티
- CentOS
- 카프카
- 쇼트유알엘
- 스프링의 정석
- 패스트캠퍼스
- emqx
- 웹개발
- EC2
- AWS
- @jsonproperty
- 생성자 주입
- docker
- 데이터베이스
- java
- 남궁성과 끝까지 간다
- JavaScript
- 개인프로젝트
- Spring
- MYSQL
- JWT
- Kafka
- 스파르타코딩클럽
- WEB SOCKET
- Today
- Total
Nellie's Blog
[TIL-221215목] 항해99 32일차(Refresh Token) 본문
배운점
Refresh Token 이란?
목적
결론부터 말하자면 Refresh Token의 목적은 Access Token의 유효 기간을 짧고, 자주 재발급 하도록 만들어 보안을 강화하면서도 사용자에게 잦은 로그아웃 경험을 주지 않도록 하는 것이다.
Access Token은 리소스에 접근하기 위해서 사용되는 토큰이라면, Refresh Token은 기존에 클라이언트가 가지고 있던 Access Token이 만료되었을 때 Access Token을 새로 발급받기 위해 사용한다.
유효 기간
Refresh Token은 Access Token 대비 긴 유효 기간을 갖는다. Refresh Token을 사용하는 상황에서는 일반적으로 Access Token의 유효기간은 30분 이내, Refresh Token의 유효기간은 2주 정도로 설정한다고 한다. 당연히 서비스 성격에 따라 적절한 유효기간을 설정 해야한다.
Refresh Token 매커니즘
- 클라이언트가 로그인을 요청하고 성공하면, 서버는 Access Token과 Refresh Token을 함께 제공한다.
- 이후 클라이언트는 인가가 필요한 요청에 Access Token을 실어 보낸다.
- 시간이 조금 흘러 Access Token이 만료 되었다면, 클라이언트는 Refresh Token을 서버로 전달하여 새로운 Access Token을 발급 받는다.
Refresh Token의 형태
Refresh Token은 JWT 일수도, 그냥 간단한 문자열 또는 UUID 일수도 있다.
JWT 형태의 Refresh Token
Refresh Token이 만약 JWT 라면, Access Token 와 똑같이 stateless 하고, 토큰 자체에 데이터를 담을 수 있을 것이다. 이 경우 Refresh Token의 유효성을 검증하기 위해 데이터베이스에 별도로 액세스하지 않아도 된다는 점 이다. 따라서 서버의 부하가 상대적으로 적을 것이다.
하지만 Access Token과 마찬가지로 Refresh Token 을 서버에서 제어할 수 없다는 단점이 존재한다. 즉, Refresh Token 을 탈취당한 상황에서 토큰을 별달리 무효화 시키는 방법이 없다.
JWT 형태가 아닌 Refresh Token
반대로 Refresh Token으로 random string 또는 UUID 등으로 사용한다면, 그 토큰을 사용자와 매핑되도록 데이터베이스에 저장해야할 것이다. 이런 경우 Refresh Token 사용시 데이터베이스에 액세스 해야한다. 하지만, 사용자를 강제로 로그아웃 시키거나, 차단할 수 있게된다. 또한 Refresh Token이 탈취되었을 경우 그 즉시 무효화시킬 수 있다.
RTR (Refresh Token Rotation)
RTR 이라는 방법이 있다. 간단하게 말하자면, Refresh Token을 한번만 사용할 수 있게(One Time Use Only) 만드는 방법이다. Refresh Token을 사용하여 새로운 Access Token을 발급받을 때 Refresh Token 도 새롭게 발급받게 된다.
이런 방식을 사용하면, 이미 사용된 Refresh Token을 사용하게 되면 서비스측에서 탈취를 확인하여 조치할 수 있게된다. 다만, 사용되지 않은 Refresh Token을 훔쳐 사용하거나, 그냥 지속적으로 Access Token만을 탈취한다면 막을 수 없다.
Refresh Token의 한계
1. Access Token을 즉시 차단할 방법의 부재
아무리 Refresh Token이 Access Token의 유효기간을 짧게 만들어 줄 수 있다고 하더라도, 탈취된 Access Token이 유효한 그 짧은 시간 동안에 악용될 수 있다는 위험성이 존재한다.
2. Refresh Token 그 자체를 탈취 당할 가능성
해커에게 Refresh Token 자체를 탈취 당하면 해커는 마음껏 Access Token을 발행할 수 있다. 서버 DB에서 Refresh Token을 저장해 직접 추적하는 방법을 사용하면 조금이나마 피해를 줄일 수 있겠지만, 피해가 확인되기 전까진 탈취 여부를 알 방법이 없다.
RTR을 사용한다면 Refresh Token을 1회 사용하고 버리게 되어 더 안전하게 사용할 수 있지만, 사용하지 않은 Refresh Token을 탈취당하면 해커는 1회 한정으로 Access Token을 발급받을 수 있다.
즉, 이러나 저러나 Refresh Token을 탈취 당할 위험성이 존재한다. 따라서 클라이언트는 XSS, CSRF 공격으로부터 Refresh Token이 탈취되지 않도록 안전하게 보관해야한다.
'회고록' 카테고리의 다른 글
[TIL-221227화] 항해99 하차 & 솔직 후기 (0) | 2022.12.28 |
---|---|
[TIL-221219월] 항해99 36일차 (S3, EC2, RDS, CORS설정) (0) | 2022.12.28 |
[TIL-221214수] 항해99 31일차(Optional, Stream) (0) | 2022.12.14 |
[TIL-221213화] 항해99 30일차(에러o.s.b.d.LoggingFailureAnalysisReporter, Cannot find symbol, rawPassword cannot be null) (0) | 2022.12.13 |
[TIL-221212월] 항해99 29일차 (리플렉션) (0) | 2022.12.12 |