구글에 Jwt 구현 예제를 보면 많은 예제가 서버에 refresh token을 redis 같은데에 저장하는 방식을 사용하는데
이게 즉시 로그아웃 등이랑 여러가지 때문에 이런 방식을 사용한다고 하는데
이러면 jwt가 세션에 비해 가지는 강점인 stateless한게 없어지는건데
이런 방식으로 구현해도 jwt가 세션이 비해 가지는 장점이 뭐야??
구글에 Jwt 구현 예제를 보면 많은 예제가 서버에 refresh token을 redis 같은데에 저장하는 방식을 사용하는데
이게 즉시 로그아웃 등이랑 여러가지 때문에 이런 방식을 사용한다고 하는데
이러면 jwt가 세션에 비해 가지는 강점인 stateless한게 없어지는건데
이런 방식으로 구현해도 jwt가 세션이 비해 가지는 장점이 뭐야??
발급하는 서버가 stateless 한거고 쓰는 입장이면 이름만 서버지 클라이언트인 셈 - dc App
서버가 사용자들이 refresh token을 관리하고 있으니까 staeful한거 아니야?
내 서버는 stateful 하고 oauth 서버는 stateful할 필요가 없지 - dc App
그럼 oauth를 사용하지 않는 서비스라면 jwt를 쓸필요가 없는거네?
그건 아니지 - dc App
왜..??
oauth 과정없이 클레임 기반토큰으로 사용해도 되고 개발자 맘대로임 - dc App
먼가 서로 딴소리하는거 같은데 무슨 상황을 얘기하고 싶은거임 - dc App
내가 발급하는 상황이랑 전달받는 상황이랑 다름 - dc App
본문에 쓴 그대로 인증관련해서 서버를 만들때 JWT방식과 Session방식이 있잖아? 근데 JWT구현 예제중에 많은 예제들이 서버에서 refresh token을 관리하는 방식인데 이렇게 서버에서 refresh token을 관리하면 기존 세션방식과 무슨 차이가 있나 궁금해서 물어본거
refresh 토큰 받고 내 서버에서 새 토큰 내려주는거 말하는거면 refresh 토큰에 있는 정보만으로 억세스 토큰 발행하게 만들 수 있음 일반적으로는 따로 저장해서 강제만료 블랙리스트도 관리함 - dc App
토큰 발행과정이 stateless 안해도 토큰 발행 기능만 뽑아서 stateful한 서버로 두고 나머지 기능만 stateless로 둘수있거 그래요 - dc App
첨에 님 서버가 jwt를 발행하는게 아니라 oauth를 연동해서 쓰는입장인줄 알고 이상한 소리 했음 - dc App
클라이언트에서 억세스 토큰으로 처리하나 서버에서 위임받아서 처리하나 oauth 발급한쪽에서 보면 둘다 걍 클라이언트 - dc App
리프레쉬 토큰 만료전까지는 인증이 편하니까 쓰는거 - dc App