❓
물음표살인마 블로그
  • README
  • ALGORITHM
    • Sieve of Eratosthenes
    • Lcm, Gcd
    • Sorting Array
    • Round Up
    • Binary Search
    • Union Find
  • Books
    • CS Note for Interview
      • Ch1. Design Pattern & Programming paradigm
        • 1.1.1 Singleton Pattern
        • 1.1.2 Factory Pattern
        • 1.1.4 Observer Pattern
        • 1.1.5 Proxty Pattern & Proxy Server
        • 1.1.8 Model-View-Controller Pattern
        • 1.2.1 Declarative and Functional Programming
        • 1.2.2 Object Oriented Programming
      • Ch2. Network
        • 2.2.1 TCP/IP Four-Layer Model
        • 2.2.1-1 TCP 3, 4 way handshake
        • 2.3 Network Devices L4, L7
        • 2.4.1 ARP, RARP
        • 2.4.2 Hop By Hop Communication
        • 2.4.3 IP Addressing Scheme
      • Ch3. Operating System
        • 3.1.1 Roles and Structure of Operating Systems
        • 3.2.1 Memory Hierarchy
        • 3.2.2 Memory Management
        • 3.3.1 Processes and Compilation Process
        • 3.3.3 Memory Structure of a Process
        • 3.3.4 Process Control Block (PCB)
        • 3.3.5 Multiprocessing
        • 3.3.6 Threads and Multithreading
        • 3.3.7 Shared Resources and Critical Sections
        • 3.3.8 Deadlock
        • 3.4 CPU Scheduling Algorithm
      • Ch4. Database
        • 4.1 Database Basic
        • 4.2 Normalization
        • 4.3 Transaction and Integrity
        • 4.4 Types of Databases
        • 4.5 Indexes
        • 4.6 Types of Joins
        • 4.7 Principles of Joins
      • Ch5. Data Structure
    • Learning the Basics of Large-Scale System Design through Virtual Interview Cases
      • 1. Scalability based on user counts(1/2)
      • 1. Scalability based on user counts(2/2)
      • 2.Back-of-the-envelope estimation
      • 3. Strategies for System Design Interviews
      • 4. Rate Limiter
      • 5. Consistent Hashing
      • 6. Key-Value System Design
      • 7. Designing a Unique ID Generator for Distributed Systems
      • 8. Designing a URL Shortener
      • 9. Designing a Web Crawler
      • 10. Notification System Design
      • 11. Designing a News Feed System
      • 12. Chat System Design
      • 13. AutoComplete
      • 14. Design YouTube
      • 15. Design Google Drive
      • Loadbalancer Algorithms
      • Cache tier
      • CDN, Content Delivery Network
      • Stateless Web tier
    • Computer System A programmer's perspective
    • Effective Java
      • Item 1. Consider Static Factory Methods Instead of Constructors
      • Item 2. Consider a Builder When Faced with Many Constructor Parameters
      • Item 3. Ensure Singleton with Private Constructor or Enum Type
      • Item 4. Enforce Noninstantiability with a Private Constructor
      • Item 5. Prefer Dependency Injection to Hardwiring Resources
      • Item 6. Avoid Creating Unnecessary Objects
      • Item 7. Eliminate Obsolete Object References
      • Item 8. Avoid Finalizers and Cleaners
      • Item 9.Prefer try-with-resources to try-finally
      • Item10. Adhering to General Rules When Overriding equals
        • Handling Transitivity Issues
        • Ensuring Consistency
      • Item11. Override hashCode When You Override equals
      • Item12. Always Override toString
        • Always Override toString
      • Item13. Override Clone Judiciously
      • Item14. Consider Implementing Comparable
      • Item15. Minimize the Accessibility of Classes and Members
      • Item16. Accessor Methods Over Public Fields
      • Item17. Minimize Mutability
      • Item18. Composition over inherentance
      • Item19. Design and Document for Inheritance, or Else Prohibit It
      • Item20. Prefer Interfaces to Abstract Classes
      • Item21. Design Interfaces with Implementations in Mind
      • Item22. Use Interfaces Only to define Types
      • Item23. Prefer Class Hierarchies to Tagged Classes
      • Item24. Favor Static Member Classes Over Non-Static
      • Item28. Use Lists Instead of Arrays
      • Item29. Prefer Generic Types
      • Item30. Favor Generic Methods
    • Head First Design Patterns
      • Ch1. Strategy Pattern
      • Ch2. Observer Pattern
        • Ver1. Ch2. Observer Pattern
      • Ch3. Decorator Pattern
        • Ch3. Decorator Pattern
      • Ch4. Factory Pattern
      • Ch5. Singleton Pattern
      • Ch6. Command Pattern
      • Ch7. Adapter and Facade Pattern
      • Ch8. Template Method Pattern
    • Digging Deep into JVM
      • Chapter 2. Java Memory Area & Memory Overflow
      • Chapter 3. Garbage Collector & Memory Allocation Strategy (1/2)
      • Chapter 3. Garbage Collector & Memory Allocation Strategy (2/2)
      • Chapter 5. Optimization Practice
      • Chapter 6. Class file structure
  • Interview Practices
    • Restful API Practices
      • Url Shortener API
      • Event Ticket Reservation API
      • Course Management API
      • Search posts by tags API
      • Online Code platform API
      • Simple Task Management API
      • Event Participation API
      • Review System API
      • Car management API
      • Online Library
    • Naver Computer Science
      • Process & Thread
      • TCP & UDP
      • Spring & Servlet
      • Filter & Interceptor & AOP
      • Equals() & ==
      • Dependency Injection
  • F-Lab
    • Week1
      • Client & Server
      • HTTP
      • TCP/UDP
      • REST API
      • Questions
        • Object Oriented Programming
        • HTTP
        • Process & Thread
        • Data Structure
    • Week2
      • OSI 7 layer
      • Web vs WAS
    • Week3
      • RDB vs NoSQL
      • RDB Index
      • Cache
      • Redis
      • Messaging Queue
    • Week4
      • Project - Ecommerce
    • Week5
      • ERD - 1
    • Week6
      • Ecommerce - 2
      • Role
      • pw hashing && Salt
      • CreatedAt, ModifiedAt
      • JWT
      • Copy of ERD - 1
    • Week7
      • Vault (HashiCorp Vault)
    • Week 8
      • Api Endpoints
  • Week10
    • Product Create Workflow
  • TOY Project
    • CodeMentor
      • Implementation of Kafka
      • Implementation of K8s
      • Communication between servers in msa
  • JAVA
    • Java 101
      • JVM Structure
      • Java Compiles and Execution Method
      • Override, Overload
      • Interface vs Abstract Class
      • Primitive vs Object Type
      • Identity and equality
      • String, StringBuilder, StringBuffer
      • Checked Exceptions and Unchecked Exceptions
      • Java 8 methods
      • Try-with-reources
      • Strong Coupling and Loose Coupling
      • Serialization and Deserialization
      • Concurrency Programming in Java
      • Mutable vs Immutable
      • JDK vs JRE
    • Java Questions
      • Week 1(1/2) - Basic Java
      • Week 1(2/2) - OOP
      • Week 2(1/2) - String, Exception, Generic
      • Week2(2/2) Lambda, Stream, Annotation, Reflection
      • Week3(1/2) Collections
      • Week3(2/2) Threads
      • Week4 Java Concurrency Programming
      • Week5 JVM & GC
    • Batch delete instead of Cascade
    • Checked vs Unchecked Exception
    • Thread
    • Memory Visibility
    • Synchronized && ReentrantLock
    • Producer & Consumer
    • BlockingQueue
    • CAS (Compare and Set)
  • SPRING
    • Spring Questions
      • Spring Framework
      • Spring MVC & Web Request
      • AOP (Aspect-Oriented Programming)
      • Spring Boot
      • ORM & Data Access
      • Security
      • ETC
    • using profile name as variable
    • Template Method Pattern
    • Strategy Pattern
    • Proxy Pattern
    • @Transactional
    • Ioc container, di practice
  • Programming Paradigm
    • Declarative vs Imperative
  • JPA
    • Template Page
  • PYTHON
    • Icecream
  • FASTAPI
    • Template Page
  • COMPUTER SCIENCE
    • Computer Architecture 101
      • 3 components of a computer
      • RAM vs ROM
      • CPU vs GPU
      • SIMD
      • Two's complement
      • Harvard Architecture vs. von Neumann Architecture
      • The structure of a CPU.
      • Instruction cycle (CPU operation method)
      • Instruction pipelining
      • Bus
      • Memory area
      • Memory hierarchy structure
        • Reason for using memory hierarchy structure
      • Cache memory
      • L1, L2, L3 Cache
      • Locality of reference (cache)
      • Fixed-point vs Floating-point
        • epresentation of infinity and NaN (Not a Number) in floating-point
      • RISC vs CISC
      • Hamming code
      • Compiler
      • Linking
      • Compiler vs Interpreter
      • Mutex vs Semaphore
      • 32bit CPU and 64bit CPU
      • Local vs Static Variable
      • Page
  • OS
    • Operating System 101
      • Operating system
        • The role of the operating system
        • The composition of the operating system.
      • Process
        • In Linux, are all processes except the initial process child processes?
        • Zombie process, orphan process
        • (Linux) Daemon process
        • Process address space
        • Where are uninitialized variables stored?
        • Determination of the size of the Stack and Heap
        • Access speed of Stack vs Heap
        • Reason for memory space partitioning
        • Process of compiling a process
        • sudo kill -9 $CURRENT_PID
      • Thread
        • Composition of a thread's address space
      • Process vs Thread
        • Creation of processes and threads in Linux
      • Multiprocessing
        • Web Browser
        • Implementation of multiprocessing
        • Application areas of multiprocessing
      • Multithreading
        • Application areas of multithreading
      • Interrupt
        • HW / SW Interrupt
        • Method of handling interrupts
        • Occurrence of two or more interrupts simultaneously
      • Polling
      • Dual Mode
        • Reason for distinguishing between user mode and kernel mode
      • System call
        • Differentiation between system calls
        • Types of system calls
        • Execution process of a system call
      • Process Control Block (PCB)
        • PCB의 구조
        • 쓰레드는 PCB를 갖고 있을까?
        • 프로세스 메모리 구조
      • Context switching
        • Timing of context switching
        • Registers saved during context switching
        • Context switching in processes
        • Context switching in threads
        • Difference between context switching in processes and threads
        • Information of the current process during context switching
      • Interprocess Communication (IPC)
        • Cases where IPC is used
        • Process address space in IPC Shared Memory technique
        • Types of IPC
    • Operating System Questions
      • Week1 OS & How Computer Systems Work
      • Week2(1/2) Process
      • Week2(2/2) Thread
      • Week3 CPU Scheduling
      • Week4 Process Synchronize
      • Week5 Virtual Memory
  • LINUX
    • Template Page
  • SERVER
    • Template Page
  • NETWORK
    • Network 101
      • https://www.google.com
      • TCP vs UDP
      • Http vs Https
      • TLS Handshake 1.2
      • HTTP Method
      • CORS & SOP
      • Web Server Software
    • Network Questions
      • Week1 Computer Network Basic
      • Week2(1/3) Application Layer Protocol - HTTP
      • Week2(2/3) Application Layer Protocol - HTTPS
      • Week2(3/3) Application Layer Protocol - DNS
      • Week3 Application Layer
      • Week4 Transport Layer - UDP, TCP
      • Week5 Network Layer - IP Protocol
    • Blocking, NonBlocking and Sync, Async
    • HTTP 0.9-3.0
  • DATABASE
    • Database Questions
      • Week1 DBMS, RDBMS basics
      • Week2 SQL
      • Week3 Index
      • Week4 Anomaly, Functional Dependency, Normalization
      • Week5 DB Transaction, Recovery
    • Normalization
      • 1st Normal Form
      • 2nd Normal Form
      • 3rd Normal Form
    • Ensuring Data Consistency, Atomicity and UX Optimization (feat.Firebase)
    • Redis: Remote Dictionary Server
    • Enhancing Query Performance - User list
  • DATA STRUCTURE
    • Array vs Linked List
    • Counting Sort
  • GIT, Github
    • git clone, invalid path error
  • INFRA
    • Template Page
  • AWS
    • Server Log Archive Pipeline
    • Image Processing using Lambda
  • DOCKER
    • Docker commands
    • Python Executable Environment
    • Docker and VM
  • docker-compose
    • Kafka, Multi Broker
  • KUBERNATES
    • !Encountered Errors
      • my-sql restarts
      • kafka producer: disconnected
    • Kubernetes Components
    • Helm
      • Helm commands
    • Pod network
    • Service network
      • deployment.yaml
      • services.yaml
    • Service type
      • Cluster IP
      • NodePort
    • service-name-headless?
    • kube-proxy
    • Template Page
  • GraphQL
    • Template Page
  • WEB
    • Template Page
  • Reviews
    • Graphic Intern Review
    • Kakao Brain Pathfinder Review
    • JSCODE 자바 1기 Review
  • 😁Dev Jokes
    • Image
      • Plot twist
      • Priorities
      • SQL join guide
      • Google is generous
      • Genie dislikes cloud
      • buggy bugs
      • last day of unpaid internship
      • what if clients know how to inspect
      • its just game
      • how i wrote my achievement on resume
      • self explanatory
      • chr(sum(range(ord(min(str(not))))))
Powered by GitBook
On this page
  • 1. 개요
  • 2. 기본 개념
  • 2.1. JSON Web Token 구조
  • 2.2. 왜 토큰 기반?
  • 3. JWT Payload
  • 3.1. 필수 등록된 클레임 vs. 커스텀 클레임
  • 3.2. 과도한 정보 넣지 말 것
  • 3.3. 만료 시간(exp)
  • 4. JWT LifeCycle (발급, 만료, 재발급)
  • 4.1. Access Token과 Refresh Token
  • 4.2. 발급 시점
  • 4.3. 만료 및 재발급
  • 4.4. Refresh Token 저장 방법
  • 5. JWT 발급/검증 알고리즘
  • 5.1. HMAC (HS256 등)
  • 5.2. RSA or ECDSA
  • 6. 서버에서 JWT 검증 흐름
  • 7. 세션less(Stateless) 장점 vs. 주의점
  • 8. JWT in E-Commerce Project
  • 8.1. User Login Flow
  • 8.2. Subsequent API Calls
  • 8.3. Token Expiry
  • 9. 만료 전 토큰 재발급(토큰 로테이션)
  • 10. 로그아웃 처리
  • 11. Implementation Example (Java Spring Boot)
  • 12. Example Payload
  • 13. 두 가지 큰 접근법
  • 13.1. 100% Stateless (No Blacklist)
  • 13.2. Blacklisting (Redis / DB 저장)
  • 14. 시나리오 비교
  • 시나리오 1. User가 정상적으로 로그아웃
  • 시나리오 2. Access Token 도난, 사용자 위험
  • 시나리오 3. 비밀번호 변경 / 회원 권한(ROLE) 변경
  • 시나리오 4. 한 기기(토큰)만 강제 만료
  • 시나리오 5. 모든 기기(모든 토큰) 만료(“로그아웃 다른 기기”)
  • 시나리오 6. Refresh Token마저 도난
  • 시나리오 7. Token Expired 자동 만료
  • 시나리오 8. 토큰 만료 직전 재발급 (Rotation)
  • 시나리오 9. 오래된 Refresh Token, 중간에 무효화?
  • 시나리오 10. 서버 재부팅 / Autoscaling
  1. F-Lab
  2. Week6

JWT

JSON WEB TOKEN

1. 개요

JWT는 세션 정보를 서버 메모리에 저장할 필요 없이, 토큰 자체에 인증 정보를 담아 무상태(stateless) 로 인증을 구현할 수 있다는 장점이 있습니다.

2. 기본 개념

2.1. JSON Web Token 구조

JWT는 “Header, Payload, Signature” 세 부분이 .으로 구분된 문자열 형태를 취합니다:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9  <-- Header (base64)
. eyJzdWIiOiIxMjMiLCJyb2xlIjoiVVNFUiIsImlhdCI6MTYy...  <-- Payload (base64)
. SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c  <-- Signature (base64)

  1. Header: 알고리즘(alg=HS256), 토큰 타입(typ=JWT) 등 메타데이터

  2. Payload: 실제 인증 정보(사용자 ID, 만료시간, role 등)

  3. Signature: 위 Header와 Payload를 비밀키(Secret)로 서명

클라이언트는 이 문자열(Access Token)을 Authorization: Bearer <token> 헤더에 실어 서버에 요청합니다.

2.2. 왜 토큰 기반?

  • Stateless: 서버가 세션을 관리하지 않고, 모든 인증 정보가 토큰 안에 있음

  • 확장성: 여러 서버 간 세션 공유 없이 토큰만 검증하면 됨

  • JWT는 표준화: 여러 언어/플랫폼에서 쉽게 지원

3. JWT Payload

3.1. 필수 등록된 클레임 vs. 커스텀 클레임

JWT 사양에는 “등록된(Registered) 클레임” 이라는 권장 필드가 있습니다:

  • iss(토큰 발급자), sub(주체), aud(토큰 대상), exp(만료시간), iat(발행시간), 등.

이와 별도로, 애플리케이션이 필요한 커스텀 클레임(예: userId, role)을 넣을 수 있습니다. 예:

{
  "sub": "userId_123",
  "role": "USER",
  "iat": 1676790800,
  "exp": 1676794400,
  "customField": "anyvalue"
}

3.2. 과도한 정보 넣지 말 것

JWT Payload는 서명 전이긴 해도, 클라이언트에게 노출됩니다(브라우저가 base64 디코딩 가능). 그러므로 **민감 정보(비밀번호, 신용카드, 개인정보)**를 절대 넣으면 안 됩니다. Payload는 ID, 권한, 만료 관련 정보 등 최소한의 식별 데이터만 담아야 합니다.

3.3. 만료 시간(exp)

JWT는 보통 exp(만료시간)를 반드시 넣어 유효기간을 제한합니다. 예: 30분(Access Token) 정도. 만료 후엔 재발급(Refresh Token) 과정을 거쳐야 합니다.

4. JWT LifeCycle (발급, 만료, 재발급)

4.1. Access Token과 Refresh Token

이커머스나 모바일 앱에서 흔히:

  1. Access Token: 짧은 유효기간(예: 30분) → API 호출 시 사용

  2. Refresh Token: 길게 유효(예: 2주 ~ 4주) → Access Token 만료 시, Refresh Token으로 재발급 요청

이 방식을 통해 보안과 편의를 균형 있게 취할 수 있습니다.

  • Access Token이 짧게 만료되면, 탈취돼도 피해가 제한됨.

  • 유저는 매 30분마다 로그인하긴 번거로우니, Refresh Token으로 자동 재발급 가능.

4.2. 발급 시점

  1. 사용자 로그인(이메일+비밀번호 검증) 성공

  2. 서버가 Access Token(JWT) + Refresh Token(JWT or DB 저장)을 발급

  3. 클라이언트(브라우저/앱)에 저장(쿠키/스토리지). 이후 API 호출할 때 Access Token 전송.

4.3. 만료 및 재발급

  • 클라이언트가 API 호출 시 “Access Token 만료” 응답(401 or 403) → 클라이언트는 Refresh Token 전송해 /auth/refresh API로 새 Access Token 획득

  • 만약 Refresh Token도 만료되었거나 무효화되었다면, 다시 로그인해야 함.

4.4. Refresh Token 저장 방법

  • DB나 Redis에 Refresh Token(또는 토큰 ID) 저장 → 만료 전 로그아웃/무효화 가능

  • JWT 자체로 Refresh Token을 발급하기도 하지만, 무효화가 까다로움(“Blacklisting” 필요)

5. JWT 발급/검증 알고리즘

5.1. HMAC (HS256 등)

  • 대칭키(Secret) 기반.

  • Header: {"alg":"HS256","typ":"JWT"}

  • Signature = HMAC-SHA256(Header, Payload, Secret)

5.2. RSA or ECDSA

  • 비대칭키(Private/Public) 방식.

  • 서버가 Private Key로 서명, 클라이언트나 게이트웨이가 Public Key로 검증.

  • 대규모/마이크로서비스에서 Public Key 배포해 서명 검증할 때 편리.

MVP 단계에서 HS256(대칭키)라도 충분하지만, 배포환경/보안 요구에 따라 RSA나 ECDSA가 더 안전/유연합니다.

6. 서버에서 JWT 검증 흐름

  1. 클라이언트: Authorization: Bearer <JWT> 헤더로 API 호출

  2. 서버: 토큰 parse → Header, Payload, Signature 분리

  3. Signature 검증: HS256이면 Secret으로 HMAC, RSA이면 Public Key로 verify

  4. exp(만료시간), nbf(시작시간) 등 클레임 체크

  5. 유효하면 Payload의 userId, role 등 꺼내서 컨트롤러에 넘김.

만약 서명 실패 or exp 지남 → 401 Unauthorized 응답.

7. 세션less(Stateless) 장점 vs. 주의점

7.1. 장점

  • 서버 확장에 유리 (N대 서버 로드밸런싱 시 세션 스티키 필요 없음)

  • 서버 재시작해도 로그인 세션 유지 (DB 세션 저장 불필요)

7.2. 주의점

  • 토큰 탈취 시 만료 전까지 API 남용 가능 → 짧은 만료시간과 HTTPS 보안 필요

  • 토큰 강제 만료가 쉽지 않다(서버에선 토큰 자체를 신뢰, “블랙리스트” 등 부가 로직 필요)

  • Refresh Token 저장 방법이 중요(쿠키, HttpOnly, DB?).

8. JWT in E-Commerce Project

8.1. User Login Flow

  1. POST /auth/login: email, password 전송

  2. 서버가 BCrypt 등으로 PW 검증 → OK시 AccessToken + RefreshToken 발급

  3. 클라이언트는 AccessToken(30분 만료) 메모리/스토리지, RefreshToken(2주 만료)을 쿠키(httponly)나 DB에 저장

8.2. Subsequent API Calls

  • GET /user/profile or POST /cart/add → HTTP Header Authorization: Bearer <AccessToken>

  • 서버 middleware(Interceptor)에서 JWT 검증.

  • 통과 → controller에서 userId, role 등 활용.

8.3. Token Expiry

  • 30분이 지나면 AccessToken 만료. API 호출 시 401 → 클라이언트가 RefreshToken 사용 /auth/refresh → 새 AccessToken 받음.

9. 만료 전 토큰 재발급(토큰 로테이션)

Refresh Token 로테이션 기법:

  1. 클라이언트가 한 번 Refresh Token 사용 시, 서버에서 새로운 Refresh Token 발급 & DB 업데이트

  2. 이전 Refresh Token 즉시 무효화

  3. 만약 이전 토큰이 재사용되면, 보안 위험이 감지됨 → 강제 로그아웃

이 기법은 Refresh Token 도난을 신속히 감지·차단하기 위함. 구현 난이도 있지만 보안 향상.

10. 로그아웃 처리

JWT 자체는 “서버상 세션 상태”가 없으므로, 클라이언트 측에서 토큰 삭제하면 끝… 이지만 도난 상황에서 강제 만료가 필요할 수 있습니다.

  • Token blacklist: 만료 시간 전까지 “이 토큰은 무효” 목록에 등록해 매 요청 시 체크.

  • Refresh Token DB 관리: Access Token 만료돼도 Refresh Token이 무효면 재발급 불가 → 사실상 로그아웃.

이커머스는 보안이 중요하므로, Refresh Token을 DB에 저장·관리하는 방식이 안전합니다.

11. Implementation Example (Java Spring Boot)

@PostMapping("/auth/login")
public LoginResponse login(@RequestBody LoginRequest req) {
    // 1. UserRepository.findByEmail -> password match
    // 2. Generate AccessToken (15m), RefreshToken (7d)
    String accessToken = jwtService.generateAccessToken(user.getId());
    String refreshToken = jwtService.generateRefreshToken(user.getId());
    // 3. Save refreshToken in DB or return in Cookie
    return new LoginResponse(accessToken, refreshToken);
}
@Aspect
@Component
public class JwtAuthAspect {
    @Around("@annotation(RequireLogin)")
    public Object checkToken(ProceedingJoinPoint pjp) {...}
}

  • Aspect or Filter checks “Authorization: Bearer ...” → decode JWT → validate.

  • If valid, set user context. If invalid, throw 401.

12. Example Payload

{
  "sub": "user:42",         // user id
  "role": "USER",           
  "iat": 1676790800,        
  "exp": 1676794400,        
  "iss": "my-ecom-service"  
}

  • sub: subject (“user:42”)

  • role: “USER” or “ADMIN”

  • iat: issued at timestamp

  • exp: expiration timestamp

  • iss: issuer name

13. 두 가지 큰 접근법

13.1. 100% Stateless (No Blacklist)

개념:

  • 서버는 Access Token(단기 만료) + Refresh Token(장기 만료)를 발급.

  • 로그인 후, 서버는 어떤 토큰도 저장하지 않음(= 완전 무상태).

  • 각 요청 시 Access Token만 서명 검증→Payload→유효? OK, 만료? → Refresh Token으로 재발급(서명만 확인).

장점:

  • 서버 부담 최소: 토큰 상태를 전혀 저장·추적하지 않으므로 확장성 높음.

  • 단순 구현: Redis나 DB가 필요 없음.

단점:

  • 토큰 강제 만료(로그아웃·권한 회수)가 어렵다. Access Token은 만료 전까지 유효.

  • Refresh Token도 빼앗기면 장기 사용 가능(만료 전까지).

13.2. Blacklisting (Redis / DB 저장)

개념:

  • 여전히 Access+Refresh 발급하되, 서버(또는 Redis) 에 토큰 정보(또는 토큰 ID)를 저장.

  • 만료 전 “강제 무효화”가 필요할 때, BlackList (또는 AllowList)를 활용.

    • BlackList: 무효 처리할 토큰을 등록. API 호출 시 토큰이 블랙리스트에 있으면 거부.

    • AllowList: 발급된 토큰만 허용. 만료 전이라도 DB/Redis에서 삭제→무효화.

장점:

  • 실시간 토큰 무효화 가능(로그아웃, 관리자 강제 만료).

  • 분실/도난, 비밀번호 변경, 권한 변경 시 즉시 차단 가능.

단점:

  • 서버가 토큰 목록을 저장/조회 → 부하 증가.

  • DB/Redis 운영 필요 → 무상태(stateless) 이점 일부 상실.

14. 시나리오 비교

시나리오 1. User가 정상적으로 로그아웃

A. 100% Stateless

  1. 클라이언트 측에서 Access Token/Refresh Token 삭제 (ex. 쿠키·스토리지 clear).

  2. 서버는 따로 할 일이 없음(Stateless).

  3. BUT, 이미 발급된 토큰이 어디선가 남아있으면(도난), 만료 전까지 여전히 유효. → 강제 만료 안됨.

B. BlackList

  1. 클라이언트 측에서 토큰 삭제.

  2. 서버에 “이 Refresh Token(또는 Access Token)을 무효화” 요청 → DB/Redis에 “Blacklisted token” 등록 or “Refresh Token row” 삭제.

  3. 향후 해당 토큰으로 요청 오면 거부.

  4. 실시간으로 토큰 무효화됨.

차이: Stateless에선 로그아웃 시 토큰을 버리는 것 외에 서버단 처리 불가. BlackList 방식은 즉시 무효화 가능.

시나리오 2. Access Token 도난, 사용자 위험

A. 100% Stateless

  1. 공격자는 Access Token 만료 전까지 자유롭게 API 호출 가능.

  2. 사용자가 “비밀번호 변경” 혹은 “다시 로그인” 해도, 도난된 Access Token이 만료될 때까지는 유효.

  3. 만약 Refresh Token도 도난되면, 매우 위험(장기 사용).

B. BlackList

  1. 사용자는 “모든 기기에서 로그아웃” 같은 기능 → 서버에서 해당 토큰(혹은 Refresh Token) 등록 → API 거부.

  2. 도난된 토큰 재사용 시, BlackList 체크로 즉시 401 차단.

  3. 보안성 향상.

차이: 완전 Stateless에선 도난 후 대책은 “기다려서 토큰 만료” 뿐. BlackList는 “즉시 차단” 가능.

시나리오 3. 비밀번호 변경 / 회원 권한(ROLE) 변경

A. 100% Stateless

  • 기존 Access Token에 적힌 role 등은 만료 전까지 그대로 유효.

  • 비밀번호 바꿔도 Token Payload는 바뀌지 않으므로, 만료 시점까지 API 가능.

  • Refresh Token 재발급 시점 이후부터 새 토큰에만 새로운 role 적용.

B. BlackList

  • “비밀번호 변경 이벤트” → 서버가 기존 토큰 모두 무효화(BlackList)

  • 새로 로그인/Refresh 해야만 새 토큰(role 갱신)

  • 즉시 권한 변경 반영.

차이: Stateless 방식에서 즉시 반영 불가, Access Token 만료 기다려야. BlackList는 “지금부터 옛 토큰 안됨”이 가능.

시나리오 4. 한 기기(토큰)만 강제 만료

A. 100% Stateless

  • 불가능. 특정 토큰만 골라 만료시킬 방법 없음.

  • 모두가 새 토큰 발급받을 때까지 기다려야 하거나, 짧은 Access Token으로 리스크 줄이는 수밖에.

B. BlackList

  • 서버가 특정 토큰 ID / jti(고유 식별자) / Refresh Token row를 DB/Redis에서 제거 or “blacklist”

  • 나머지 기기는 문제없이 사용, 특정 기기는 즉시 만료

차이: Stateless에선 토큰별 조절 불가. BlackList는 토큰 단위로 세밀히 제어 가능.

시나리오 5. 모든 기기(모든 토큰) 만료(“로그아웃 다른 기기”)

A. 100% Stateless

  1. 불가능에 가깝다.

  2. 방법: “비밀번호 변경” → 이후 새 로그인. 기존 토큰들은 만료 전까지 유효.

B. BlackList

  1. “전체 토큰” = Refresh Token 테이블(또는 user별 token list)을 전부 삭제/BlackList 등록

  2. 즉시 전 디바이스가 401 Unauthorized → 재로그인 필수.

시나리오 6. Refresh Token마저 도난

A. 100% Stateless

  • 도난된 Refresh Token이 만료 전이면 공격자 무제한 Access Token 재발급 가능.

  • 유저가 비밀번호 바꾸거나 재로그인해도, 이미 발급된 Refresh Token은 유효(만료 전).

  • 치명적.

B. BlackList

  • Refresh Token DB나 Redis에 저장. 도난 사실 알면 즉시 해당 Refresh Token row 삭제 → 더 이상 재발급 불가.

  • 안전.

시나리오 7. Token Expired 자동 만료

A. 100% Stateless

  • 서버는 Payload의 exp 검사 → 만료면 401.

  • 클라이언트가 Refresh Token으로 새 Access Token 받음.

  • 별도 DB 검사 없이 편리.

B. BlackList

  • 마찬가지로 exp 검사.

  • 또한, DB의 “issued_at”이나 “valid_until” 필드와 비교할 수도 있음.

  • 만료되면 401, refresh needed.

(이 부분은 두 방식 크게 다르지 않음. BlackList도 exp로 토큰 만료 자동 반영.)

시나리오 8. 토큰 만료 직전 재발급 (Rotation)

A. 100% Stateless

  • 서버는 Access Token 재발급 시, 기존 Access Token 무효화 불가능.

  • Token Rotation(Refresh 시 옛 Token 파기) → 크게 의미 없음, 여전히 옛 Access Token 유효.

B. BlackList

  • Rotation 시 이전 Access Token / Refresh Token BlackList에 추가 → 즉시 무효.

  • 새 Token만 유효.

시나리오 9. 오래된 Refresh Token, 중간에 무효화?

A. 100% Stateless

  • 원칙적으로 무효화 불가, 만료 기다리거나, user가 전면 재로그인.

  • 장기 Refresh Token은 유출 시 대형 사고.

B. BlackList

  • 어떤 사유(예: 보안사고)로 Refresh Token을 모두 폐기. DB/Redis row 삭제.

  • 즉시 효력 상실.

시나리오 10. 서버 재부팅 / Autoscaling

A. 100% Stateless

  • 매우 편함. 서버 10대를 늘리거나 재부팅해도, Token 검증은 동일 Secret 공유하면 OK.

  • 세션 동기화 불필요.

B. BlackList

  • BlackList(토큰 상태) 저장을 Redis/DB 등 공유 저장소에 둬야 함.

  • 서버 재부팅 / Autoscaling 시, 그 저장소만 제대로 연결되면 문제 없음.

  • 다만, 부하·관리비 조금 증가.

PreviousCreatedAt, ModifiedAtNextCopy of ERD - 1

Last updated 1 month ago