Q Token에 대해서 아시나요?
A
토큰기반서비스는 stateless 합니다
-
계기 : 세션이나 서버에 저장되지 않았기에 서버가 부담을 덜느껴 사용하게됨
-
작동원리
| 서버 | 클라이언트 | 비고 |
|---|---|---|
| 웹사이트 제공 | 로그인 요청 | |
| 토큰 생성->응답 | 토큰 저장 | 토큰정보와 함께 클라이언트에서 요청 |
| 토큰 검증->응답 | 토큰 읽기 |
Q 혹시 보안은 어디까지 생각해보셨나요?
A
계기 유저들이 개인 정보에 대해 안심하고 서비스를 사용할수있도록
토큰을 이용해 보안을 강화하기 위한 방법을 써보았습니다
가설 1 accesstoken 탈취당할 경우 ?
솔루션 1 token 유효시간을 짧게 설정해서 문제 줄이자 => NO
원인분석
- 토큰 만료시 기능 구현이 제대로 작동 안되는데 유저 경험에 BAD
- 토큰 중간자 공격에 취약함
솔류션 2 유효기간을 길게 주돼, refresh token을 추가하자!
가설 2 refresh Token 탈취당할 경우 ?
- accessToken 재발급 요청시 refresh token을 함께 재발급해주고, 동시에 데이터베이스에 user용 refresh token을 저장.
- 클라이언트쪽에서 refreshtoken 사용 -> db refresh token 비교해 유효성 검사 실시
🏠TECH & GOSSIP