yong.dev.log

https://developer-yong.tistory.com/43 JWT 다중 토큰 발급JWT를 이용한 인증/인가는, 토큰이 XSS, HTTP통신 가로채기 등으로 탈취되었을 때 해커가 서비스를 악용할 수 있다. 따라서, 토큰 탈취 방지 및 탈취되었을 때 대비하는 기술이 존재한다. 다중 토큰developer-yong.tistory.comJWT를 단일 토큰 방식으로 사용할 경우, 위와같은 문제점이 존재한다. 따라서, 단일 토큰 방식에서 다중 토큰 발급 방식으로 변경이 필요하다. LoginFilter.java@Overrideprotected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, Filter..

JWT를 이용한 인증/인가는, 토큰이 XSS, HTTP통신 가로채기 등으로 탈취되었을 때 해커가 서비스를 악용할 수 있다. 따라서, 토큰 탈취 방지 및 탈취되었을 때 대비하는 기술이 존재한다. 다중 토큰Access/Refresh 토큰 자주 사용되는 토큰의 생명주기는 짧게(약 10분), 이 토큰이 만료되었을 때 재발급을 요청 할 Refresh 토큰(24시간 이상) 두개를 함께 발급함.실행 순서1. 로그인 성공 시 Access, Refresh 토큰  발급2. 서비스에 요청 시 권한이 필요할 때 Access 토큰을 통해 요청3. Access 토큰이 유효할 경우 서버에서 서비스 응답4. Access 토큰이 만료됐을 경우 Refresh 토큰으로 서버측에서 토큰 검증 후 새로운 Access토큰 발급 Access 토..