Operation checklist

JWT 운영은 짧은 access와 폐기 가능한 refresh가 기준이다

토큰 저장 위치, 만료 시간, 재발급 실패 경로를 함께 정해야 인증 흐름이 안정된다.

운영 리스크 관리

안정적인 기준

항목권장
Access token짧게 유지하고 보호 라우트마다 검증한다.
Refresh token서버 저장소와 연결해 로그아웃·폐기가 가능하게 둔다.
Payload식별자와 권한처럼 다시 검증 가능한 값만 포함한다.
재발급 실패401 이후 재로그인으로 명확히 분기한다.

피해야 할 기준

항목위험
긴 만료 시간토큰 탈취 뒤 피해 시간이 길어진다.
민감 정보 포함디코딩만으로 개인정보가 노출될 수 있다.
무제한 refresh폐기와 로그아웃 처리가 어려워진다.
모호한 오류만료, 위조, 권한 부족 구분이 흐려진다.

핵심: access는 검증 비용을 낮추고, refresh는 폐기 가능한 재발급 권한으로 다룬다.