[TIL-20260205] Access Token 재발급 구현

 

 

 

🍀 To Do List

✔️ 코테 문제 풀이 - 링크드 리스트, 이진 탐색, 재귀함수

✔️ 사이드 프로젝트 - 토큰 재발급

 

👩🏻‍💻 Today I Learned ...

 

🚨 문제 사항

access token과 refresh token 모두 재발급

토큰 재발급 로직을 구현하면서 아래와 같은 고민이 생겼다.

• 내가 사용해 온 iOS 앱들은 로그인 세션이 거의 끊기지 않았었는데, 토큰 재발급 요청이 자주 이루어지는 거 아닌가?
• 토큰 재발급 요청이 자주 발생하는 구조에서, access token 만료 될 때마다 refresh token까지 함께 재발급 되는 구조가 적절한가?
• refresh token을 DB에 저장하고 관리하는 구조에서 재발급이 반복되면 서버 부하나 관리 복잡도가 증가하지 않을까?

 

 

🤔 고민했던 선택지

Access Token만 재발급

• Access Token 만료 시, access Token만 재발급한다.
• 서버/DB에서 refresh token 만료 여부만 관리하면 된다.
• 사용자에게 로그인이 풀리지 않게 보이려면, refresh token 만료 시간을 길게 설정해야 한다.

Refresh token  부분적 재발급

• Access Token 만료 시,  우선 access Token을 재발급한다.
• Refresh Token은 특정 조건(만료 기간이 다가올 때 등)에서만 재발급 한다.

 

✅ 개선 방향

`Access token`만 재발급하는 방식이 가장 간단한 구현 방법이라는 생각이 들었지만,

이 방식을 사용할 경우 refresh token의 만료 기간을 길게 설정해야 하고, 토큰 탈취 등의 문제가 발생했을 때 대응이 어렵다는 점이 우려되었다.

 

결론적으로 `refresh token`은 기본적으로 유지하되, 만료 시점이 임박한 경우에만 재발급하는 방식으로 구현하여, UX도 고려하면서

보안성, DB 갱신 비용을 함께 줄이는 방향으로 개선하기로 했다.

 

 

참고 :

🌐 Access Token & Refresh Token 원리