Access Token & Refresh Token | Notion

Access Token

protected resource를 요청할 때에는 반드시 엑세스 토큰을 제시해야한다.
토큰은 client에게 발행된 인증에 관한 내용을 담은 암호화된 문자열이다.
인증 범위나 인증 기간 등의 정보를 포함하는데, Owner에 의해 Grant 되어야하는 부분이다.

Refresh Token

엑세스 토큰과 비슷한 형태를 띄고 있다.
차이점으로는 좀 더 긴 만료기간을 갖고 있다.
만료기간이 긴 엑세스 토큰의 오용을 막기 위해 생긴 절충안이다
엑세스 토큰이 만료시에 리프레쉬 토큰을 이용하여 새로운 엑세스 토큰 발급

Access Token 발급 시나리오
1. 4가지 방법 중 하나의 authorization grant 방식으로 엑세스 토큰 요청
2. client 인증 및 authorization grant 유효성 검사 후 엑세스 토큰과 리프레쉬 토큰 발행
3. token으로 protected resource 요청access token이 유효하면, 해당 리소스 제공토큰이 만료될 때까지 (C)와 (D)를 반복한다.
4. 이후에 만료된 access token으로 protected resource 요청만료된 토큰이라고 응답refresh token으로 새로운 access token 발급해달라고 요청한다.
5. 이 때 client에 대한 인증도 함께 이루어진다.client 인증 + refresh token 유효성 검사 => access token 을 재발급(경우에 따라 refresh token 도 재발급 가능)