![[Spring Boot] 63. 스프링부트 블로그 v3 (RestAPI) (8) RefreshToken](https://image.inblog.dev?url=https%3A%2F%2Fsource.inblog.dev%2Ffeatured_image%2F2025-11-28T20%3A50%3A42.187Z-420d573b-4f64-407f-bcd3-ccf40755e540&w=3840&q=75)
Contents
2. RefreshToken1234가 항상 다른 해시 왜? gensalt()때문에
AccessToken의 역할 : 인증이 필요한 모든 페이지에 accesstoken 있으면 데이터 줌
클라이언트 : acesstoken을 자기들 저장소에 저장 (JS의 경우 local storage)
프로토콜
Authorization: Bearer ~ (한칸 띄우기 필수)
RFC 7519 문서 읽기 → ctrl+c해서 gpt에게 요약 부탁하면 됨!
서버는 상태를 저장하지 않으므로 클라이언트가 토큰을 버리는게 로그아웃임
내 개인정보 들어갈때 다주니까 인증
다음에 올때 기억해서 들어오게 해주면 인가
2. RefreshToken
토큰 = a4 용지(계약서)
계약서에 id : 1이랑 싸인되어있음
이거 들고 다니면 은행을 가도 내가 누군지 알고 신뢰할 수 있게 해주는 종이
유효기간 1년임 1년뒤에 갱신해야됨
누가 훔쳐감
없어졌는데 훔친건지 집에서 잃어버린건지도 모르겟음
그래서 걍 이거 쓰기 찝찝함
재발급 받으러 감
신분증 다시 주고 잃어버렷어요 재발급해주세요 하니까 종이 다시 줌
잃어버린 종이 그거 누가 쓸 수 있어요? 하니까 가능함ㅋㅋ 이러면 당황스럽
근데 그거 우리가 어떻게 못해요 날릴수잇는 방법 없음 서명지에 대한 어떠한 정보도 안가지고 잇으요
첫번째 종이에 대한 key를 가지고 있으면 좀 달라짐
첫번째 종이에 53이라는 국가코드 그 53을 국가가 가지고 잇음
국가에서 53을 블랙리스트 처리하면 나중에 잡힐수 있음
새 발급 종이는 99
53 저장해둔 것 = stateful
서명검증이 목적이지 53처럼 하면 session쓰는것과 다를바가 없다.
왜 stateless?나중에 서버 확장시 유리
서명만 검증할때 생기는 이 문제를 해결해보자!
구현이 빡세서 사용자가 많아지면 만든다.
Q. access token의 만료시간 이후 어떻게 refresh token이 access token을 재발급해주나요?Share article