작성
·
110
0
back channel 이 없으면 refresh token 사용이 불가하다고 말씀해주셨는데,
access token 처럼 refresh token 도 받아서 사용하면 안되는 걸까요? (표준에 어긋나서 사용을 안하는건가요)
사용기간이 긴 refresh token 은 보안적으로 위험해서 사용을 안하는 것인가요?
답변 1
0
refresh token 은 서버 측에 보관하는 토큰입니다.
즉 access token 이 만료되었을 경우 해당 refresh token 을 사용해서 새로운 access_token 을 발급받는 것입니다.
그리고 refresh token 은 필수가 아닙니다. access token 을 발급받기 위한 여러 과정을 거치지 않고 refresh token 만 가지고도 쉽게 발급받을 수 있도록 편의를 위해 사용할 뿐입니다.
refresh token 이 유출될 경우 access_token 을 발급받을 수 있기 때문에 당연히 back channel 에서만 통신이 이루어져야 합니다.