[Etc] 🔑 Access Token과 Refresh Token 완벽 정리

22 Feb 2025 in Miscellaneous

OAuth 2.0을 사용할때 핵심인 Access Token과 Refresh Token에 대해 알아보자.

• Access Token과 Refresh Token이란?
• Access Token
• Refresh Token
• Access Token vs. Refresh Token 비교
• Access Token과 Refresh Token을 사용하는 이유
• Access Token과 Refresh Token을 활용한 인증 흐름
• Access Token & Refresh Token 보안 고려 사항
• 실제 코드 구현 (Java, Spring Security)

---

1. Access Token과 Refresh Token이란?

OAuth 2.0을 사용할 때 핵심이 되는 토큰

토큰 종류	역할	유효 기간	사용 목적
Access Token	API 요청 시 인증을 위한 토큰	짧음 (몇 분~1시간)	사용자가 인증된 후 API 접근
Refresh Token	Access Token이 만료되었을 때 새 토큰 발급	김 (며칠~몇 달)	Access Token을 갱신

---

2. Access Token

✅ Access Token이란?

• 사용자가 OAuth 인증을 마치면 Authorization Server가 발급하는 단기 유효 토큰.
• 이 토큰을 API 요청의 Authorization 헤더에 포함하여 사용.
• 일반적으로 Bearer Token 방식으로 사용됨.

🎯 Access Token 사용 예시

HTTP 요청에서 Access Token을 포함하여 API 호출:

GET /user/profile HTTP/1.1
Host: api.example.com
Authorization: Bearer ACCESS_TOKEN

⏳ Access Token의 유효 기간

• 보안상 짧은 시간(몇 분~1시간 정도) 만 유지됨.
• Access Token이 만료되면 더 이상 API를 호출할 수 없음.
• 해결 방법: Refresh Token을 사용하여 새로운 Access Token 발급.

---

3. Refresh Token

✅ Refresh Token이란?

• Access Token이 만료되었을 때, 새로운 Access Token을 요청할 수 있도록 제공되는 장기 토큰.
• Access Token과 다르게, Refresh Token 자체로는 API 요청을 보낼 수 없음.
• 일반적으로 다시 로그인하지 않고도 인증을 연장할 때 사용.

🎯 Refresh Token 사용 예시

Access Token이 만료되면, Refresh Token을 이용하여 새 Access Token을 요청:

POST /auth/token HTTP/1.1
Host: auth.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&
client_id=YOUR_CLIENT_ID&
client_secret=YOUR_CLIENT_SECRET&
refresh_token=YOUR_REFRESH_TOKEN

⏳ Refresh Token의 유효 기간

• 며칠~몇 달까지 유지 가능 (보안 정책에 따라 다름).
• 일반적으로 기기 변경, 비밀번호 변경, 보안 위험 감지 시 강제 만료됨.

---

4. Access Token vs. Refresh Token 비교

	Access Token	Refresh Token
목적	API 요청 인증	새로운 Access Token 발급
유효 기간	짧음 (몇 분~1시간)	김 (며칠~몇 달)
보관 위치	클라이언트 저장	클라이언트 저장 (보안 필요)
보안 위험	탈취되면 API 무단 접근 가능	탈취되면 새로운 Access Token 발급 가능
사용 가능 횟수	여러 번 API 요청 가능	1회 또는 제한적 사용

---

5. Access Token과 Refresh Token을 사용하는 이유

Access Token만 사용하면?

• 보안상 유효 기간을 길게 설정할 수 없음.
• 토큰이 만료될 때마다 사용자가 다시 로그인해야 함 → 불편함.

Refresh Token을 추가하면?

• Access Token을 자주 갱신할 수 있음 → 보안 강화.
• 사용자가 다시 로그인할 필요 없이 자동으로 인증 연장 가능.

👉 Refresh Token을 사용하면 보안과 사용자 편의성 모두 향상됨.

---

6. Access Token과 Refresh Token을 활용한 인증 흐름

1️⃣ 사용자가 로그인 & 권한 부여
→ OAuth 서버가 Access Token과 Refresh Token 발급
2️⃣ 클라이언트가 API 요청
→ Authorization: Bearer Access_Token 포함하여 요청
3️⃣ Access Token이 만료됨
→ API 서버가 401 Unauthorized 응답 반환
4️⃣ Refresh Token을 사용해 새 Access Token 요청
→ 새 Access Token 발급 후 다시 API 요청 가능
5️⃣ Refresh Token도 만료됨
→ 사용자는 다시 로그인 필요

👉 Access Token은 API 요청을 인증하는 용도, Refresh Token은 새로운 Access Token을 발급하는 용도!
👉 보안이 중요한 만큼 저장 방식과 유효 기간을 잘 관리해야 함! 🚀

---

7. Access Token & Refresh Token 보안 고려 사항

✅ Access Token 보안

• 유효 기간을 짧게 설정 (몇 분~1시간)
• HTTPS 사용 필수 (네트워크 스니핑 방지)
• 탈취되면 API 접근 가능 → 짧은 유효 기간이 보안성을 보장

✅ Refresh Token 보안

• 보안 저장소 사용 (예: 모바일 앱에서는 Secure Storage)
• HTTP 요청 시 노출되지 않도록 주의 (쿠키 또는 안전한 저장소에 보관)
• 유출 시 즉시 무효화 필요 (서버에서 토큰 무효화 기능 추가)

🚨 탈취 방지 방법

1. Refresh Token을 클라이언트에서 안전하게 저장
   • 브라우저: HttpOnly Secure Cookie 사용
   • 모바일 앱: Secure Storage / Keychain 사용
2. Refresh Token 재사용 방지 (One-Time Refresh Token)
   • Refresh Token을 사용할 때마다 새 Refresh Token을 발급하고 이전 것은 무효화
3. IP & 디바이스 검증
   • Refresh Token 사용 시 IP 주소와 디바이스 정보를 확인하여 이상 감지 시 무효화
4. 토큰 암호화 및 서명
   • JWT 기반 Access Token은 서명(Signature) 을 포함하여 위변조 방지

---

8. Access Token & Refresh Token 실제 코드 구현 (Java, Spring Security)

🔹 Access Token & Refresh Token 발급 API 예제 (Spring Boot)

@RestController
@RequestMapping("/auth")
public class AuthController {

    @PostMapping("/token")
    public ResponseEntity<?> getToken(@RequestParam String refreshToken) {
        if (isValidRefreshToken(refreshToken)) {
            String newAccessToken = generateNewAccessToken();
            return ResponseEntity.ok(newAccessToken);
        } else {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Invalid Refresh Token");
        }
    }

    private boolean isValidRefreshToken(String token) {
        // Refresh Token 검증 로직
        return token.equals("valid-refresh-token"); // 예제 코드
    }

    private String generateNewAccessToken() {
        // 새로운 Access Token 생성 (JWT 사용 가능)
        return UUID.randomUUID().toString();
    }
}