[의문] refresh token도 결국 JWT인데 왜 "Bearer"을 안쓰는걸까?
✅ 선행 학습
토근 기반 인증에서 bearer는 무엇일까?
본 글은 MDN - HTTP 인증, Veloport님의 게시글을 참고하여 작성되었습니다. 자세하게 알고싶으신 분은 해당 링크를 참고해주세요.토큰 기반 인증인증 타입마치며토큰 기반 인증은 쿠키나 세션을 이
velog.io
✅ 상황
로그인 요청을 날리고, AccessToken과 RefreshToken이 정상적으로 돌아오는 것을 확인했다.
✅ 의문
JWT 토큰 인증을 구별하기 위해 Bearer을 사용한다는 말이 있다.
그렇다면 왜 Refresh Token 에는 Bearer이라는 키워드를 붙히지 않은 채로 돌아오는걸까?
Refresh Token도 JWT인데 문자열이 필요한게 아닌가? 라는 의문이 들었다.
refresh token도 결국 JWT인데 왜 "Bearer"을 안쓰는거지?
내가 개발을 잘못한건가?
✅ 해결
이런 의문이 들었던 것의 원인은 결과적으로 학습의 깊이감 부족이다.
나는 Bearer이라는 키워드를 JWT에 사용한다! 는 정도만 알아둔 채로 개발을 한거라서 의문이 생길수밖에 없었다.
결과적으로 Authorization에 해당하는 데이터 (access token) 는
토큰 유형을 구별하기 위해 (JWT/OAuth) bearer을 사용하는것이며
Refresh token은 만료되었는가 ? 를 체크하는 토큰
즉 Authorization에 포함되지 않는 토큰이라서 구별할 필요가 없다! 는것이 핵심이다
좀 더 자세하게 이 내용을 봤으면 의문 자체가 들수 없는데 (너무나도 당연한 이야기라서)
아무튼 이 의문을 해결하기 위해 공부하면서 알게 되었으니 그걸로 만족한다 ㅎㅎ