[사이드 프로젝트] AccessToken 재발급 API 설계기

개요이 글은 지난 글에서 정리한 RefreshToken 상태 관리 흐름을 기반으로, AccessToken 재발급 API를 어떻게 설계했는지를 기록한 글이다.AccessToken은 보안상 수명이 짧아야 한다. 왜 그럴까?한 번 발급된 AccessToken이 탈취되면, 서버 입장에서는 그 토큰이 "정상 유저"의 것인지, "공격자"가 훔친 것인지 구분할 방법이 없다.즉, 토큰 탈취는 매우 치명적인 보안 위협이다.하지만 만약 AccessToken의 수명을 짧게 가져간다면? → 탈취되더라도 사용 가능한 시간 자체가 짧아진다.이는 AccessToken이 탈취되었을 때의 피해를 최소화하기 위한 가장 현실적이고 안전한 설계 전략이다.따라서 이 글에서는, "짧은 수명"을 갖는 AccessToken을 어떻게 ..