[Project] JWT 토큰 관리 전략

프로젝트에서 인증·인가 파트를 맡게 되면서, 이번에는 보안에 특히 신경 써서 최대한 견고한 구조를 구현해 보고 싶었다.이전 프로젝트에서는 액세스 토큰(Access Token)만 발급하고 필터에서 검증하는 수준으로 끝냈다. 그런데 한 번 탈취된 액세스 토큰은 만료될 때까지 여전히 유효하므로, 공격자는 별다른 제약 없이 API를 계속 호출할 수 있다.물론 액세스 토큰의 유효기간을 5~10분 정도로 짧게 설정하면 탈취 위험을 줄일 수 있다. 하지만 매번 짧은 주기로 로그인을 요구하면 사용자 경험이 크게 떨어진다.그래서 유효기간이 긴 리프레시 토큰(Refresh Token)을 함께 발급한다. 액세스 토큰이 만료되면, 클라이언트는 리프레시 토큰을 사용해 새로운 액세스 토큰을 받아오도록 한다.그런데 이 구조에도 치..

• format_list_bulleted 카테고리 없음
• · 2025. 6. 7.
• textsms

[Spring] Spring Security

1. 소개Spring Security란?Spring 기반 애플리케이션의 보안을 담당하는 프레임워크인증(Authentication)과 인가(Authorization)를 중심으로 애플리케이션을 보호하는 역할을 한다.한마디로 인증, 권한 관리 그리고 데이터 보호 기능을 포함하여 웹 개발 과정에서 필수적인 사용자 관리 기능 ex) 로그인 등을 구현하는데 도움을 주는 프레임워크 주요기능1. 인증 (Authentication)사용자가 누구인지 확인하는 과정으로, 일반적으로 로그인 과정을 의미한다.사용자 정보 확인: ID/PW, OAuth2, JWT, LDAP, SAML 등 다양한 인증 방식을 지원인증 관리자(AuthenticationManager): 사용자의 인증 정보를 검증하고 인증 여부를 결정하는 핵심 컴포넌트..

• format_list_bulleted Spring
• · 2025. 2. 6.
• textsms