🔐 Spring Security + JWT + Redis 인증 구조 정리

✅ 전체 흐름 요약

JWT는 무상태 인증 방식이기 때문에, 토큰을 클라이언트에만 저장하면 서버는 상태를 기억하지 못함.
이를 보완하기 위해 Redis를 사용해 로그아웃된 토큰이나 강제로 만료시킬 토큰을 관리하는 구조를 설계함.

---

🧭 인증 흐름 전체 구조

1. 로그인 시

• 클라이언트가 로그인 요청 → 서버가 JWT 발급 (access + optional refresh)
• 토큰은 클라이언트에 저장 (예: localStorage, cookie)

2. 요청 시

• 클라이언트가 Authorization 헤더에 토큰 포함하여 API 호출
• 서버에서는 필터에서 JWT를 디코딩 → 사용자 정보 추출
• 유효하다면 SecurityContextHolder에 사용자 정보 저장 → 이후 요청에서 인증 정보 사용 가능

3. 로그아웃 시

• 클라이언트가 로그아웃 요청
• 서버는 해당 JWT를 Redis 블랙리스트에 저장 + TTL은 토큰의 남은 만료 시간만큼 설정
• 이후 이 토큰으로 요청이 오면 Redis에서 차단됨

4. 토큰 검증 시 (필터 내부)

if (isValid(jwt)) {
    if (!redisService.hasKey(jwt)) {
        Authentication auth = getAuthentication(jwt);
        SecurityContextHolder.getContext().setAuthentication(auth);
    } else {
        // 블랙리스트에 등록된 토큰 → 인증 실패 처리
    }
}

---

📦 Redis의 역할

역할	설명
블랙리스트 저장소	로그아웃된 JWT를 Redis에 저장하여 인증 거부 처리
TTL 기반 관리	남은 토큰 만료 시간을 기준으로 Redis에 TTL 설정 → 자동 삭제
빠른 조회	RDB보다 빠른 in-memory 조회로 인증 성능 최적화

---

🔍 Redis 없이 구현하는 대안은?

방식	단점
RDB에 블랙리스트 테이블	매 요청마다 DB IO → 성능 저하 + TTL 관리 복잡
클라이언트에서만 토큰 삭제	서버는 여전히 토큰을 유효하다고 판단함 (보안 취약)
accessToken 짧게 + refreshToken	일정 시간 내 accessToken은 여전히 유효 → 실시간 차단 불가

➡️ 결론: Redis는 토큰 무효화와 세션 제어를 실시간으로 처리하면서도 퍼포먼스까지 확보할 수 있는 최적의 선택지

---

🧠 면접용 정리 멘트

“JWT는 무상태 인증 구조이기 때문에, 로그아웃이나 강제 만료가 어려운 단점이 있습니다.
이를 보완하기 위해 Redis에 블랙리스트를 관리하고 TTL을 설정함으로써, 서버 측에서 토큰을 실시간으로 무효화할 수 있도록 했습니다.”