본문 바로가기
Security#Security#Auth조회 2

Refresh Token란?

정의

Access Token이 만료됐을 때 새 Access Token을 발급받는 용도의 장기 토큰. 서버에 안전 보관.

다른 표현리프레시 토큰Refresh Token

Refresh Token이란?

Access Token은 짧게(15분) 유지해 탈취 피해를 제한하고, 장기 유지용으로 Refresh Token을 별도 발급한다.

흐름

  1. 로그인 → Access + Refresh 발급
  2. Access로 API 호출
  3. 만료되면 Refresh로 새 Access 받기
  4. Refresh도 만료되면 재로그인

보안 규칙

  • Refresh는 HttpOnly + Secure 쿠키
  • Rotation — 한 번 쓰면 새로 발급, 기존 것 무효화
  • 탈취 탐지 — 동시 사용 감지 시 모두 revoke
  • SPA는 가급적 BFF 패턴으로 서버에서만 다루기

📘 관련 기술노트

전체 보기 →
BackendJWT 인증 구현 완벽 가이드 — Access Token과 Refresh Token
👁 3,989
BackendJWT 인증 시스템 구현 — Access Token + Refresh Token
👁 1,789
BackendJWT 인증 완벽 이해 — Access Token·Refresh Token 구현
👁 1,498

🔗 함께 보면 좋은 용어

Security 전체 →
한국 개인정보보호법
한국의 개인정보 보호 규제. 2020년 전면 개정. 민감·고유 식별 정보 엄격.
Anonymization
데이터에서 식별 정보를 제거. k-anonymity·differential privacy.
Argon2
2015년 Password Hashing Competition 승자. 현대 비밀번호 해싱의 권장 알고리즘.
Audit Logging
중요 행동을 변조 불가한 감사 로그로 기록. 규정 준수·포렌식에 필수.
AWS IAM
AWS 접근 제어 서비스. User·Role·Policy·Groups.
Bastion Host
내부 네트워크 진입을 위한 강화 점프 서버. SSH·RDP 관문.
← 전체 사전으로 돌아가기마지막 업데이트 · 2026년 4월 19일