access token -> refresh token

[NakedGreeen]

저희 access token을 사용 중인데 검색해보니 금방 만료된다 하여.. 전반적으로 refresh token으로 바꾸는 게 좋지 않을까 생각합니다

[dianexjeong]

• access token이랑 refresh token을 둘 다 저장하고, 프론트에서 api 요청 보낼 때 access_token이 만료되었다는 응답을 서버한테 받으면 그때 우리 저장소에 있는 refresh token을 재발급하는 방식이 정법입니다!!

• 지금은 access_token만을 가지고 하다 보니, 언제 만료가 되는지 프론트에서는 알 수 있는 방법이 없죠... 만약 이 상태에서 이미 만료된 access_token이 로컬 스토리지에 있다는 이유로 재발급과 로그인 절차 없이 바로 지원서 작성 페이지를 들어가서 지원서 제출을 누르면 access token 만료로 인해 제대로 된 제출이 안될 것 같네요

• 'ACCESS_TOKEN_LIFETIME': timedelta(hours=2),

• 'REFRESH_TOKEN_LIFETIME': timedelta(days=7),

  • 백엔드에서 settings.py에 토큰 유효기간을 정할 수 있는 방법이 있어요!

1. 가장 편한 방법 : access_token을 1달동안 지정하기
2. 안전한 방법 : access_token은 30분~2시간 내로 설정하고 refresh token으로 재발급받는 절차 만들기

[dianexjeong]

02/19 16:10 BE에서 access token 유효기간 1달로 연장 (ㅋㅋㅋㅋ)