Amazon Cognito, 리프레시 토큰 회전 지원
Amazon Cognito는 사용자 풀 클라이언트에 대해 OAuth 2.0 리프레시 토큰 회전 기능을 지원한다고 발표했습니다. 리프레시 토큰은 사용자가 다시 로그인하지 않고도 애플리케이션이 새로운 액세스 토큰을 발급받을 수 있도록 해주는 장기 유효 토큰입니다. 리프레시 토큰 회전을 사용하면, 기존 리프레시 토큰을 정기적으로 새로운 토큰으로 자동 교체하도록 사용자 풀 클라이언트를 설정할 수 있어, 애플리케이션의 보안 태세를 한층 강화할 수 있습니다. 기존에는 장기 유효 토큰에 의존했다면, 리프레시 토큰 회전은 리프레시 토큰이 유출되었을 때 악용될 수 있는 시간을 줄일 수 있습니다. 또한, 리프레시 토큰은 백그라운드에서 자동으로 교체되므로, 재인증이 필요 없어 사용자는 중단 없이 서비스를 이용할 수 있습니다.
리프레시 토큰 회전이 없었을 때는 고객이 재인증해야 하는 번거로움을 줄이기 위해 장기 유효 토큰을 선택하거나, 토큰 유출의 위험으로부터 보호하기 위해 단기 유효 토큰을 선택해야 했습니다. 이제 리프레시 토큰 회전을 통해, 사용자의 리프레시 토큰을 자동으로 업데이트함으로써 사용자 경험을 해치지 않으면서도 애플리케이션 보안 태세를 강화할 수 있습니다. 예를 들어, 협업 앱에서 사용자가 30일 세션 동안 로그인 상태를 유지하더라도, 리프레시 토큰은 새로운 액세스 토큰 및 ID 토큰으로 교환될 때마다 몇 시간마다 자동으로 갱신되어, 단일 토큰의 노출 위험을 최소화할 수 있습니다.
이 기능은 Cognito를 사용할 수 있는 AWS 리전(AWS GovCloud(미국) 리전 포함)에서 에센셜 또는 플러스 티어를 사용하는 Amazon Cognito 고객에게 제공됩니다. 자세한 내용은 Cognito 리프레시 토큰 개발자 안내서에서 확인하세요.