사이드 프로젝트를 진행하는 동안 인증기반을 JWT로 하기로 했고 refresh-token을 순환시키는 방법에 대해 알게 됐다. 그게 바로 refresh token rotation인데 무엇 때문에 생긴 기법이냐?를 알기 전에 refresh token에 대해서 알아보자 JWT를 사용하면 로그인 후 서버에서 access-token을 내려주고 클라이언트는 이 access-token을 웹 스토리지에 저장한 후 API요청할 때마다 http헤더에 같이 담아서 보내준다. 이 access-token의 만료기간을 길게 잡게 되면 해커의 공격으로 탈취될 경우 해커가 이 토큰으로 api요청을 보낼 수 있다. 그렇다고 만료기간을 짧게 잡으면 사용자가 그 만료기간이 지날 때마다 로그인을 자주 해줘야 하는 불편한 경험을 초래하게 ..