인생을 코딩하다.

JWT를 사용하여 인가/인증 처리를 할 때, 로그아웃과 관련된 이슈가 한 가지 있습니다. JWT 특성상 자체 만료시간이 기술되어 있으므로 강제 무효화가 안된다는 문제 입니다. JWT에 직접 기술된 만료시간으로 무효화가 되기 때문이죠. 이런 AccessToken을 무효화하기 위해 Oauth2.0을 사용하여 아래의 그림처럼 opaque token을 고려해볼 수 있습니다. Opaque token이란? 이름에서 알 수 있듯이 전달하는 정보 측면에서 불투명합니다. 토큰은 인증 서버에 저장된 정보를 가리키는 식별자일 뿐이며 서버 측에서 자체 검사를 통해 유효성을 검사합니다. 기존 JWT AccessToken의 자체 만료시간으로 인해 강제 무효화가 안되는 것을 Oauth2의 opaque token을 사용하여 로그아웃..