Table of Contents
OAuth2 토큰과 보안이슈
문제점
-
토큰이 탈취되면 누구나 어느 디바이스에서나 리소스에 접근이 가능해진다.
-
OAuth2 + JWT 비대칭 암호화를 사용하는 경우, 인증서버는 토큰이 어떻게 사용되는지조차 인지할 수 없다.
토큰의 종류
-
액세스토큰
-
액세스토큰을 새로 받으면 기존 모든 토근이 무효화된다.
-
발급된 액세스토큰이 탈취된 걸 인식하면, 토큰 재발급으로 탈취된 토큰의 무효화가 쉽다.
-
액세스토큰을 재발급하려면 사용자의 인증서버 재인증이 필요하다.
-
-
갱신토큰
-
갱신토큰의 새로운 갱신토큰 발급에 사용자의 인증이 필요없다.
-
즉, 자동 갱신이되므로 사용자가 토큰이 갱신되었는지 인지하지 못한다.
-
액세스토큰
-
액세스토큰의 사용
-
액세스토큰의 재발급
갱신토큰
-
갱신토큰의 사용
-
갱신토큰의 재발급