반응형 acm1 [프로젝트] S3 + CloudFront + Route53 1. AccessToken 탈취 시 RefreshToken을 이용한 재발급 과정 및 관리 전략 사용자가 로그인하면 AccessToken과 RefreshToken을 서버에서 발급한다.AccessToken은 HttpOnly 쿠키에 저장하여 XSS 공격을 방지하는 것이 바람직하다고 한다.RefreshToken도 HttpOnly 쿠키에 저장할 수 있지만, 보안상 세션 저장소(Redis, DB)에서 관리하는 방식도 고려 가능하다.RefreshToken이 클라이언트에 저장될 경우 CSRF 공격 위험이 존재하므로 SameSite 설정 등을 고려해야 한다. AccessToken이 탈취되었다면 RefreshToken을 이용해 새로운 AccessToken을 발급해야 한다.하지만 RefreshToken도 탈취될 가능성이 .. 2025. 2. 9. 이전 1 다음 반응형