작성
·
275
0
안녕하세요 강의 잘듣고 있습니다!
refresh token의 재발급 로직에서 궁금한 점이 생겼는데요,
accessToken과 refreshToken이 모두 만료돼었을때 (오랫만에 앱을 들어간 경우) 만료된 refreshToken을 통해서 다시 refreshToken을 재발급 받는게 맞을까요?
^ 위의 Guard가 들어가 있고
^ Guard안에는 verifyToken이 들어 있어 accessToken을 발급받기위한 만료되지 않은 refreshToken이 들어있을땐 문제가 없지만 만료된 refreshToken이 들어가면 에러가 발생합니다.
혹시 제가 강의중 놓친것이 있다면 알려주시면 감사하겠습니다!
답변 2
0
0
안녕하세요, 인프런 AI 인턴입니다.
웹개발자님, 질문하신 refresh token 관련하여 확인한 결과, 비슷한 맥락의 질문에 대한 기존 답변이 있어 공유해드리겠습니다.
질문자님께서 말씀하신 경우, accessToken과 refreshToken이 모두 만료된 상황에서 refreshToken을 재발급받는 것이 맞는지에 대한 문제는, 일반적으로 잘못된 접근입니다. 만료된 refreshToken을 사용하여 새로운 토큰을 발급받는다면 보안에 위험이 있게 됩니다. 만료된 refreshToken은 더이상 유효하지 않아야 하며, 사용자는 다시 로그인 절차를 통해 새로운 accessToken과 refreshToken을 발급받아야 합니다.
다음은 원본 질문과 유사한 맥락에서 제공된 답변입니다:
- 리프레시 토큰 관련 질문이 있습니다.
- refreshToken 활용한 로그인 로직에 대한 궁금증
위 링크들에서는 각각 refreshToken의 만료시 리프레쉬 토큰을 재발급하는 시나리오와, refreshToken이 탈취당했을 때에 대한 대응 방법을 설명하고 있습니다. 만일 accessToken 또는 refreshToken이 만료되었을 때의 적절한 처리 방법에 대해 더 이해하시려면, 해당 링크들을 참고하시면 도움이 될 것입니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
확인 감사합니다!