jwt2 [실무 웹 인증과 보안 완벽 가이드 #03] Access Token과 Refresh Token 도입기 안녕하세요! 지난 2편에서는 서버의 부담을 획기적으로 줄여주는 마법의 기술, JWT(JSON Web Token)에 대해 알아보았습니다. 하지만 JWT에는 너무나도 치명적인 단점이 하나 있었죠. 바로 '한 번 발급된 토큰은 유효기간이 끝날 때까지 서버가 절대 통제할 수 없다'는 점이었습니다.만약 해커가 제 JWT를 훔쳐 간다면, 서버는 그 토큰이 진짜 주인이 보낸 건지 해커가 보낸 건지 구분할 방법이 없기 때문에 속수무책으로 당할 수밖에 없습니다."그럼 토큰 유효기간을 5분으로 짧게 줄이면 되잖아요!" 맞습니다. 그런데 그렇게 하면 사용자는 5분마다 다시 아이디와 비밀번호를 치고 로그인을 해야 합니다. 화가 난 사용자는 당장 서비스를 탈퇴해 버리겠죠.보안을 챙기자니 사용자가 불편하고, 사용자를 편하게 하자.. 2026. 4. 8. [실무 웹 인증과 보안 완벽 가이드 #02] 모던 웹 인증의 핵심: JWT(JSON Web Token) 구조와 원리, 그리고 한계 안녕하세요! 지난 1편에서는 웹 서버의 '금붕어 같은 기억력(무상태성)'을 극복하기 위해 등장한 쿠키와 세션, 그리고 사용자가 많아졌을 때 서버를 확장(Scale-out)하면서 겪는 세션 불일치 문제와 Redis를 활용한 해결책까지 깊게 알아보았습니다."서버 공통 저장소인 Redis를 쓰면 다 해결되는 거 아니야?" 라고 생각하셨을 수도 있습니다. 네, 확실히 세션 불일치 문제는 완벽하게 해결됩니다. 하지만, 진짜 문제는 '비용과 성능'에서 터지기 시작합니다. 1. 세션의 한계와 토큰(Token) 기반 인증의 화려한 등장여러분의 서비스가 폭풍 성장해서 넷플릭스나 쿠팡처럼 동시 접속자가 수백만 명이 되었다고 상상해 봅시다. 사용자가 페이지를 이동할 때마다, API를 호출할 때마다 서버는 매번 Redis(세.. 2026. 4. 7. 이전 1 다음
