서버는 클라이언트에 대한 정보를 저장할 필요 없다. (토큰이 정상적으로 검증되는지만 판단한다)
클라이언트는 request를 전송할 때 마다 토큰을 헤더에 포함시키면 된다.
사용자의 자격 증명 정보를 직접 관리하지 않고, Github, Google 등의 다른 플랫폼의 자격 증명 정보로 인증하는 것이 가능하다.
토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능하다.
토큰에 저장하는 정보의 양이 많아질 수록 토큰의 길이는 길어진다.
따라서 request를 전송할 때 마다 길이가 긴 토큰을 함께 전송하면 네트워크에 부하를 줄 수 있다.
즉 한 번 생성된 토큰은 자동으로 삭제되지 않기 때문에 토큰 만료 시간을 반드시 추가해야 한다.
또한 토큰이 탈취된 경우 토큰의 기한이 만료될 때까지 토큰 탈취자가 해당 토근을 정상적으로 이용할 수 있으므로 만료 시간을 너무 길게 설정하지 않아야 한다.
JWT는 많은 네트워크 트래픽을 사용하지 않도록 Payload에 많은 정보를 포함하지 않는 것이 바람직하다.
Payload는 base64로 인코딩 되기 때문에 토큰을 탈취하여 Payload를 디코딩하면 토큰 생성시 저장한 데이터를 손쉽게 확인할 수 있으므로 Payload에는 민감한 정보를 포함하지 않아야 한다.
토큰은 자동으로 삭제되지 않으므로 반드시 토큰 만료 시간을 지정해야 한다.
토큰이 탈취될 경우를 대비해서 토큰 만료 시간을 너무 길게 설정하지 않는 것이 바람직하다.