jwt는 로그아웃을 구현할 때 클라이언트가 갖고 있는Access Token과 Refresh Token을 만료시키는 방식으로 이루어진다.
로그아웃을 할 때는 redis에 있는 refresh token을 지워버리면 된다. 이때 블랙리스트라는 개념을 도입할 수 있다.
로그인 상태를 유지할 때는 request에 있는 header의 accesstoken을 가져와서, 이 토큰이 유효한 토큰인지 확인한다.
refreshtoken은 accesstoken을 재발급할 때 사용한다.
로그아웃을 했다면 redis에 저장한 refreshtoken을 삭제한다.
그러면, 해커가 이 refreshtoken 탈취했더라도 어차피 레redis에는 accesstoken 재발급을 위한 refreshtoken이 없어서 상관 없을 거 같다.
문제는
답을 찾기 위해서 노력하는 사람