Operation checklist
운영 리스크 관리
JWT 운영은 짧은 access와 폐기 가능한 refresh가 기준이다
토큰 저장 위치, 만료 시간, 재발급 실패 경로를 함께 정해야 인증 흐름이 안정된다.
안정적인 기준
| 항목 | 권장 |
|---|---|
| Access token | 짧게 유지하고 보호 라우트마다 검증한다. |
| Refresh token | 서버 저장소와 연결해 로그아웃·폐기가 가능하게 둔다. |
| Payload | 식별자와 권한처럼 다시 검증 가능한 값만 포함한다. |
| 재발급 실패 | 401 이후 재로그인으로 명확히 분기한다. |
피해야 할 기준
| 항목 | 위험 |
|---|---|
| 긴 만료 시간 | 토큰 탈취 뒤 피해 시간이 길어진다. |
| 민감 정보 포함 | 디코딩만으로 개인정보가 노출될 수 있다. |
| 무제한 refresh | 폐기와 로그아웃 처리가 어려워진다. |
| 모호한 오류 | 만료, 위조, 권한 부족 구분이 흐려진다. |
핵심: access는 검증 비용을 낮추고, refresh는 폐기 가능한 재발급 권한으로 다룬다.