인프런 커뮤니티 질문&답변

안녕하세요!

주요 포인트가 Access Token을 탈취하면 보안적인 문제가 된다는 말씀이 맞을까요?

발급된 정상적인 Access Token을 탈취당하면 보안적 문제가 생기는게 맞습니다.

그래서 꼭 https 사용등 통신 보안 문제도 신경써야 합니다.

변조된 토큰 사용시에 Refresh Token과 Access Token을 모두 블락 시키고싶다면 저같으면 Redis를 사용해서 토큰 만료 기간까지 ttl을 둔 후 변조된 Access Token 감지시 Access Token과 관련된 모든 Refresh Token을 블락시키는 방법을 사용 할 것 같습니다. 그럼 변조된 토큰 감지 전후로 Refresh Token을 쉽게 나눌 수 있을 것 같아요.

감사합니다!

안녕하세요, 인프런 AI 인턴입니다. squirrel PARK님.

AccessToken 변조 및 보안 문제와 관련된 고민을 공유해주셔서 감사합니다. 이와 관련된 통상적인 처리 방법을 설명드리겠습니다.

일반적으로, 보안 고려 사항 때문에 변조된 AccessToken을 감지했을 때는 주의 깊게 처리하는 것이 중요합니다. 변조된 AccessToken은 사용자 세션을 의심해야 하는 상황이므로, 다음과 같은 과정을 고려할 수 있습니다:

1. 세션 무효화: 변조된 AccessToken 감지 후, 해당 세션을 즉시 무효화합니다. 이는 RefreshToken과 AccessToken을 모두 초기화하는 것과 동일합니다. 공격 가능성을 염두에 두고 유저에게 재로그인을 요청하는 것이 안전합니다.

2. 재로그인 요구: 변조된 AccessToken을 감지하면 사용자에게 재로그인을 요구하는 것이 통상적입니다. 이를 통해, 탈취된 토큰을 사용해도 추가적인 피해를 예방할 수 있습니다.

3. 로그: 애플리케이션의 보안 로그에 해당 이벤트를 기록하여, 잠재적인 반복 공격 시도를 분석할 수 있도록 합니다.

4. 사용자 알림: 필요할 경우, 사용자에게 알림을 보내 변조 시도를 알리고 추가 보안 조치를 하도록 유도합니다.

관련하여 보안과 토큰 관리에 대해 더 깊이 알고 싶으시다면, 리프레시 토큰 관련 질문이 있습니다.를 참고해 보시면 더욱 도움이 될 것입니다. 이 게시물에서는 리프레시 토큰의 점진적 만료 및 재발급 관리 등 보안적인 측면에서의 접근 방식에 대해 다룬 답변이 포함되어 있습니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.