[TIL 0424] RefreshToken

💡 RefreshToken 이란?

발급된 AccessToken의 유효 기간이 지나 만료 되는 시점에서
RefreshToken을 통해, 로그인 과정 없이 새로운 AccessToken을 받아올 수 있다.

RefreshToken은 2주~1개월 정도의 긴 만료 기한을 가지고 있고,
만료기간이 지나면 재로그인을 진행해
새로운 RefreshToken 을 가져오는 과정이 필요하다.

RefreshToken을 어디에 담아 받아올까?
로컬/세션 스토리지의 경우 보안에 취약하기 때문에 토큰을 취급할 때에는 사용하지 않고
쿠키에 RefreshToken을 담아서 받아오게 된다.

✔️ 쿠키의 secure / httpOnly 옵션

쿠키라고 해서 매우 안전한 것은 아님!
하지만 로컬/세션 스토리지와는 다르게 secure, httpOnly 등의 옵션을 설정할 수 있다..

• httpOnly : 브라우저에서 Javascript를 이용해 쿠키에 접근할 수 없고, 통신으로만 해당 데이터를 주고받을 수 있다.(해커로부터 안전!)
• secure : https 통신 시에만 해당 쿠키를 받아올 수 있다.

✔️ RefreshToken을 이용해 AccessToken을 새로 발급받는 과정

1. AccessToken 만료 후 인가 요청
2. 해당 오류 포착해서 인가 에러(토큰만료)인지 체크(unAuthenticated)
3. RefreshToken으로 AccessToken 재발급 요청
4. 발급 받은 AccessToken을 state에 재저장
5. 방금 실패했던 쿼리(error) API를 재요청
6. accessToken만 새 accessToken로 요청해서 인가 성공
7. 해당 fetchUser 요청하고 브라우저에 전달
8. user가 프로필조회를 하면 뒷단에서 Slient Auth(조용한 인증)
   

✔️ 소셜 로그인 ( OpenAuth 서비스 )

위와 같은 로그인 서비스를 카카오에서 제공을 하고, 네이버에서 제공을 하고, 구글에서 제공을 한다.
이런 서비스들을 OAuth 서비스라고 하며, 흔히 소셜 로그인이라고 부른다.

💡 마이크로 서비스 아키텍쳐 (Micro Service Architecture)

백엔드의 서비스를 작은 단위로 쪼개 서로 다른 컴퓨터에 담는 서비스 구조

일반적으로 인증/인가와 관련된 API를 담아 놓은 인증 서비스,
컨텐츠를 처리하는 것과 관련된 API를 담아 놓은 리소스 서비스로 나뉘며,
리소스 서비스도 각각의 API의 용도에 따라 더 잘게 쪼개는 것이 가능하다.

현대 웹의 백엔드 서비스는 마이크로 서비스 아키텍쳐로 이루어져 있는 경우가 많다.

✔️ MSA의 장점
1. 각각의 서비스를 필요에 따라 다른 언어나 구조로 만들 수 있다.
2. 백엔드 서비스가 다운되더라도 문제가 발생한 일부 마이크로 서비스만 다운될 뿐 서비스 전체가 접속 불가능해지는 사태는 일어나지 않는다.

✔️ MSA의 단점
1. 서비스의 구조가 복잡해진다.