JWT

JWT의 만료 시간은 인증 서버에 의해 exp 청구에 설정됩니다. 현재 날짜.시간이 exp 청구에 나열된 만료 날짜/시간 이전이 아닌 경우 JWT는 만료되어 시스템 캐시에서 지워집니다.

JWT

JWT는 일종의 확인서인데, 따로 서버의 메모리에 저장 공간을 확보할 필요가 없다.

서버가 토큰을 한번 클라이언트에게 보내주면 클라이언트는 토큰을 보관하고 있다가 요청을 보낼때마다 헤더에 토큰을 실어보내면 된다. 쿠키를 사용할 수 없는 모바일 어플리케이션에는(쿠키는 웹브라우저에서 사용할수 있는 기능) JWT를 사용한 인증방식이 최적이다.

JWT 저장위치

JWT를 웹에서 저장하기 위해서는 브라우저 저장소에 저장하는 방식과 쿠키를 저장하는 방식을 사용할 수 있다. localstorage와 세션 스토리지 같은 브라우저 저장소에 JWT를 저장한다면 스크립트 공격(XSS)에 취약해진다. 쿠키에 저장할 때 http-only 를 사용한다면 HTTPS로만 쿠키가 전달되기 때문에 보안을 강화할 수 있고, CSRF 문제에 대해서는 CSURF같은 라이브러리를 사용함으로 해결할 수 있다.