Operation checklist
JWT 운영 체크포인트
토큰은 한 번 발급하면 클라이언트와 서버 사이에서 계속 돌아다닌다. 저장 위치, 만료, 재발급 실패 기준을 함께 정해야 한다.
운영 리스크 관리
안정적인 기준
| 항목 | 권장 |
|---|---|
| Access token | 짧게 유지하고 보호 라우트마다 검증 |
| Refresh token | 저장소에 기록해 폐기 가능하게 운영 |
| Payload | 식별자와 권한처럼 다시 검증 가능한 값만 포함 |
| 재발급 실패 | 401 후 재로그인으로 명확히 분기 |
피해야 할 기준
| 항목 | 위험 |
|---|---|
| 긴 만료 시간 | 탈취 후 피해 시간이 길어진다. |
| 민감 정보 포함 | 토큰 디코딩만으로 정보가 노출된다. |
| 무제한 refresh | 폐기와 로그아웃 처리가 어려워진다. |
| 모호한 오류 | 만료, 위조, 권한 부족 구분이 흐려진다. |