OAuth2.0 RFC의 Refresh Token 동작원리

Access Token

수명이 있음

만료되면 api가 정보를 안준다. 

 

이런 경우 새로 access 토큰을 발급 받을 수 있는 방법은?

refresh 토큰!

 

 

Refresh Token

https://datatracker.ietf.org/doc/html/rfc6749#section-1.6

RFC 6749 - The OAuth 2.0 Authorization Framework

 

A - 클라이언트가 access 토큰을 요청, 권한 부여를 제시함.

 

B - 권한 서버가 클라이언트를 인증하고 유효성을 검사함. 유효하면, access 토큰, refresh 토큰을 발급함

 

C - 클라이언트가 access 토큰을 제시함으로써 리소스 서버에 보호된 리소스를 요청

 

D - 리소스 서버가 access 토큰의 유효성을 검사하고, 유효하다면 응답을 보낸다.

 

E - C,D 단계가 access 토큰이 만료될 때까지 반복됨. 클라이언트가 access 토큰의 만료를 알게된다면 G 단계로 넘어감

 

F - access 토큰이 만료되었으므로, 리소스 서버는 'invalid token error'를 반환함

 

G - 클라이언트가 권한 서버와 함께 새 access token을 요구하고 refresh 토큰을 제시함. 클라이언트의 권한 요구는 클라이언트 타입과 서버 정책에 기반함

 

H - 권한 서버는 클라이언트에 권한을 주고 refresh token의 유효성을 검사하고, 유효하다면 새 access 토큰을 발행함