액세스 및 새로 고침 토큰이 자동으로 만료되도록 새 글로벌 OAuth 클라이언트의 기본 동작을 일부 변경하고 있습니다. 또한 기존 로컬(비전역) OAuth 클라이언트가 새로 고침 토큰 플로우를 채택할 수 있는 현재 기한이 2027년 4월 1일로 연장되었습니다.

본 발표에서는 다음과 같은 주제를 다룹니다.

• 무엇이 변경되나요?
• Zendesk에서 이러한 변경을 하는 이유가 무엇인가요?
• 어떻게 해야 하나요?

무엇이 변경되나요?

2026년 2월 2일부로 글로벌 OAuth 클라이언트가 새로 고침 토큰 플로우를 사용해야 한다고 이전에 발표된 변경 내용이 적용됩니다. 따라서 (1) 새로 만든 모든 글로벌 OAuth 클라이언트(외부 OAuth 클라이언트라고도 함) 및 (2) 사용량이 없거나 지난 3개월 동안 사용량이 없는 기존 글로벌 OAuth 클라이언트에 대한 액세스 및 새로 고침 토큰에 대한 기본 TTL(Time to Live)을 시행합니다. 최근 사용량이 더 많은 글로벌 OAuth 클라이언트의 경우에는 강화된 보안 가이드라인을 준수하기 위한 지속적인 노력의 일환으로 만료가 적용됩니다.

또한 2026년 4월 30일부터 새로 만든 모든 로컬(비전역) OAuth 클라이언트에 자동으로 동일한 기본 TTL이 적용됩니다. 이전에 발표된 새로 고침 토큰 플로우 채택 기한이 2027년 4월 1일로 연장되었습니다.

Zendesk에서 이러한 변경을 하는 이유

보안을 강화하고 최신 표준에 부합하기 위해 2026년 2월 2일 이후에 만든 모든 글로벌 OAuth 클라이언트에 대해 OAuth 2.0 새로 고침 토큰이 필요합니다. 이로써 액세스 토큰이 일시적이고 순환되므로 토큰이 노출될 기간이 기회가 크게 줄어듭니다. 전 세계적으로 공격 및 데이터 유출의 빈도가 증가하고 그 치밀함이 높아짐에 따라 자격 증명 노출의 영향을 제한하기 위해 새로 고침 토큰을 채택하는 것이 업계에서 점차 일반적인 모범 사례로 자리잡고 있습니다.

어떻게 해야 하나요?

1. 관리 센터의 사이드바에서 앱 및 연동 서비스를 클릭한 다음 API > 외부 OAuth 클라이언트를 선택합니다.
2. 목록에서 토큰을 보려는 클라이언트를 찾습니다.
3. 클라이언트 옆의 옵션 메뉴를 클릭하고 토큰 보기를 선택하여 "마지막 사용 시간" 타임스탬프를 봅니다.

타사 앱 개발자는 다음 일반 가이드라인에 따라 OAuth 토큰 만료 및 새로 고침 처리를 위해 앱을 준비할 수 있습니다. 정확한 구현 세부 정보는 애플리케이션 및 구축 방법에 따라 다릅니다. 자세한 내용은 OAuth 새로 고침 토큰 작업하기를 참조하세요.

1. 사용자에게 다시 권한을 부여하지 않고도 앱이 액세스 권한을 새로 고침할 수 있도록 새로 고침 플로우를 구현합니다. grant_type=refresh_token와 함께 /oauth/tokens 엔드포인트를 사용하여 새 액세스 토큰을 얻으세요. OAuth 클라이언트 라이브러리나 패키지를 사용하는 경우에는 해당 문서를 검토하여 새로 고침 토큰(및 자동 토큰 새로 고침)을 지원하는지 확인하고 필요에 따라 구성이나 버전을 업데이트하세요. OAuth 클라이언트 구현에 따라 새로 고침 토큰을 저장하고 액세스 토큰 만료를 처리하는 방법을 업데이트해야 할 수도 있습니다.
2. 순환 및 만료를 처리합니다. 액세스 토큰이 만료되기 전에(또는 OAuth 인증 요청이 4xx 응답을 리턴할 때) 새로 고침하여 중단을 피하고 새 토큰이 리턴될 때 이전 새로 고침 토큰을 교체하세요.
3. 원활하게 실패를 처리하세요. OAuth 로 인증된 요청이 실패하거나 액세스 토큰 새로 고침 요청이 실패하는 경우 사용자에게 명확한 메시지를 표시하고 새 액세스 및 새로 고침 토큰을 얻을 수 있도록 앱에 다시 권한을 부여하라는 메시지를 표시합니다.
4. 배포를 모니터링하고 지원합니다.

본 발표와 관련된 피드백이나 질문이 있으시면 고객 제품 피드백을 수집 및 관리하는 커뮤니티 포럼을 방문하세요. Zendesk 제품에 대한 일반적인 지원은 Zendesk 고객 지원팀에 문의하세요.