토큰 갱신하기 명세에 따르면 refresh token 의 유효기간이 1개월 미만으로 남은 경우에 대해서만 refresh token 을 갱신처리하여 기존 토큰을 폐기처리하고, 새로운 토큰을 내려주도록 되어 있는데요.
- DB 부하 때문인지
- 각 갱신 요청들의 타이밍 이슈가 있어서 인지
- 기타 이유가 있어서인지
이렇게 1달(30일?) 을 기준으로 동작이 다르게 설계가 된 이유가 궁금합니다.
감사합니다.
리프레시토큰은 OAuth2 스펙에 따라 편의상 제공하나 가급적 생명 주기를 짧게 가져가는 것이 안전합니다.
적절한 시점에 갱신하여 안전한 사용을 유도하는 것입니다.
아래 아티클 참고해보시면 좋을 것같습니다.
https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
@tim.l 답변 감사합니다.
RTR 꽌련해서는 스펙을 읽어보고 문의를 드리는 것이긴 합니다만
기간이 1개월인 사유가 내부적으로 적절한 시점 으로 판단하셨다는것처럼 이해가 됩니다.
그것에 대해서는 크게 궁금한게 없는데,
1개월 이상 남더라도 무조건 갱신을 시켜주지 않고 1개월 미만으로 남았을때만 갱신을 하는것이 어떤 상황을 해결 내지는 유도 하고자 하는 설정인지 궁금해서 문의 드렸습니다.
1개의 좋아요
안녕하세요.
자세한 내용은 안내드리기 어렵고
무조건 갱신을 시켜주지 않는 것도 사용성과 보안을 위해 내부적으로 적절하게 정한것이라 생각하시면 좋을 것 같습니다.
감사합니다.
