Refresh Token Rotation

jwt refreshToken 을 httpOnly 및 secure 로 로컬로 전송한다고 해도, 해커가 브라우저에 까지 접근할 수 있으면 역시 탈취되는것 아냐? 이에 대한 대책은 없어?

해커가 브라우저에 까지도 접근 가능한 상황이 되었다는 가정하에,

Access Token 을 재발할 할때마다 Refresh Token 또한 재발급하는 방법입니다.

Refresh Token 을 정상적인 사용자가 사용하여 Access Token 을 재발급하면,

탈취된 Refresh Token 은 무효화됩니다.

반대로 해커가 먼저 재발급을 받았다면, 정상적인 사용자가 로그인 시도하였을 때 모든 토큰을 무효화 함으로서 지속적인 피해를 차단시킬 수 있습니다.

인공지능이 나보다 아는게 많다는…