인프런 커뮤니티 질문&답변

mkp0131님의 프로필 이미지

작성한 질문수

스프링 시큐리티 OAuth2

Implicit Grant Type - 암묵적 승인 방식

implicit grant 에서 refresh token 사용가능 여부 문의

작성

·

110

0

back channel 이 없으면 refresh token 사용이 불가하다고 말씀해주셨는데,
access token 처럼 refresh token 도 받아서 사용하면 안되는 걸까요? (표준에 어긋나서 사용을 안하는건가요)

 

사용기간이 긴 refresh token 은 보안적으로 위험해서 사용을 안하는 것인가요?

답변 1

0

정수원님의 프로필 이미지
정수원
지식공유자

refresh token 은 서버 측에 보관하는 토큰입니다.

즉 access token 이 만료되었을 경우 해당 refresh token 을 사용해서 새로운 access_token 을 발급받는 것입니다.

그리고 refresh token 은 필수가 아닙니다. access token 을 발급받기 위한 여러 과정을 거치지 않고 refresh token 만 가지고도 쉽게 발급받을 수 있도록 편의를 위해 사용할 뿐입니다.

refresh token 이 유출될 경우 access_token 을 발급받을 수 있기 때문에 당연히 back channel 에서만 통신이 이루어져야 합니다.

mkp0131님의 프로필 이미지

작성한 질문수

질문하기