JWT 완전 해설: 구조, 보안, 흔한 실수

JWT는 상태를 줄여 주지만, 잘못 구현하면 회수하기 어려운 인증 정보가 됩니다. 편의성보다 검증 규칙이 더 중요합니다.

세 부분 구조

JWT는 header, payload, signature 세 부분으로 구성됩니다. payload는 읽을 수 있으므로 민감정보를 담아서는 안 됩니다.

필수 검증 항목

• 허용 알고리즘 화이트리스트
• exp, iss, aud 확인
• 짧은 access token 수명
• 필요 시 refresh token 분리

회수 전략

JWT는 본질적으로 무효화가 어렵기 때문에 짧은 TTL, 블랙리스트, 비밀키 회전 같은 전략이 필요합니다.

실무 팁

운영 토큰 분석은 브라우저 기반 JWT Inspector처럼 로컬에서 동작하는 도구로 처리하는 편이 안전합니다.