JWT 구조 설명에 멈추는지, 무상태성·키 관리·탈취 대응·세션 대비 트레이드오프를 묶어 "언제 JWT를 골라야 하는가"까지 답할 수 있는지를 가른다.
JWT는 header·payload·signature 세 조각의 서명 기반 토큰으로, 서버가 세션 상태를 들고 있지 않아도 인증 정보를 검증할 수 있게 만든다. 그래서 다중 서버·마이크로서비스 환경에서 확장성이 좋지만, payload는 base64일 뿐 "암호화"가 아니므로 민감정보를 넣으면 그대로 새고, 서명 키가 새면 인증 체계가 통째로 무너진다. 즉 JWT는 "가볍게 인증을 분산할 수 있는 도구"가 아니라 "키 관리·만료·탈취 대응 같은 운영 정책을 함께 설계해야 비로소 안전해지는" 도구다.
JWT를 도입하면서 리프레시 토큰 로테이션·블랙리스트를 어떻게 설계했는지 본인 경험으로 풀 수 있다
서명 키 회전·HSM·KMS 같은 키 관리 절차를 운영해본 적이 있다면 "JWT 사고는 운영에서 난다" 주장의 근거로 이을 수 있다
탈취 의심 사례나 비밀번호 재설정 시 토큰 무효화 정책을 짜본 경험이 있다면 무상태 인증의 약점 이야기로 자연스럽게 연결할 수 있다
쿠키 vs 로컬스토리지 vs 메모리 같은 토큰 저장 위치를 두고 보안 검토를 해본 경험이 있다면 운영 결정의 무게를 본인 사례로 풀 수 있다
아직 공개된 답변이 없어요. 첫 공개 답변을 남겨보세요.