JWT 인증

JWT를 사용한 인증 구현

 

Access Token

• 보호된 자원(resource server)에 접근하기 위해 사용

 

Refresh Token

• 유효하지 않거나 만료된 Access Token을 재발급 받기위해 사용한다.
• 인증 서버에서만 사용되고 절대 resource server에 보내지는 일은 없다.

https://www.rfc-editor.org/rfc/rfc6749#section-1.5

 

(A) 클라이언트가 access token을 요청

(B) authorization server는 클라이언트를 인증하고 인증 권한이 유효하면 access token, refresh token을 발급해준다.

(C) 클라이언트는 resource erver에 access token과 함께 요청을 보낸다.

(D) resource server는 access token을 검증하고, 유효하면 요청을 실행

(E) access token이 만료될 때까지 (C), (D) 단계를 반복

클라이언트가 access token이 만료된 것을 알았다면 (G) 단계로 넘어간다.

그렇지 않으면 다른 resource 요청을 생성

(F) access token이 유효하지 않아서 resource server는 invalid token error를 리턴

 

 

 

참고 👇

https://www.rfc-editor.org/rfc/rfc6749#section-1.5

RFC 6749: The OAuth 2.0 Authorization Framework