JWT 토큰이 탈취되면 어떻게 즉시 무효화하나요? (무상태의 딜레마)

Question

로그인에 JWT(access token)를 쓰는데, 토큰이 탈취된 것으로 의심될 때 즉시 무효화할 방법이 마땅치 않습니다. 만료를 짧게 잡으면 사용자가 자꾸 로그아웃되고, 길게 잡으면 탈취 시 위험합니다. 실무에서 어떻게 푸나요?

환경: Node 백엔드, access 토큰 1시간 만료

김영삼 · Accepted Answer

JWT의 무상태 이점과 "즉시 무효화"는 본질적으로 상충합니다. 실무에선 다음 조합으로 균형을 잡습니다. 1) access는 짧게(5~15분) + refresh로 갱신 — access가 탈취돼도 노출 창이 짧습니다. 2) refresh 토큰 회전(rotation) + 재사용 감지 — refresh를 쓸 때마다 새 refresh를 발급하고 옛 것은 폐기. 이미 쓴 refresh가 다시 들어오면 "탈취"로 간주하고 해당 사용자의 모든 refresh를 무효화합니다. 3) 서버측 무효화 지점은 refresh에만 — refresh 토큰만 DB/Redis에 저장(jti 화이트리스트 또는 버전)하면, access는 여전히 무상태로 두면서도 "강제 로그아웃 = refresh 무효화"로 길어야 access 수명(분) 안에 차단됩니다. // 사용자별 token_version 두고 access 클레임에 포함 // 비번 변경·강제 로그아웃 시 version++ → 옛 access는 갱신 불가 if (cl

secure_pjy · Answer

refresh 회전과 재사용 감지 로직을 넣었습니다. token_version도 좋네요. 한 가지, access를 5분으로 줄이면 refresh 요청이 너무 잦아질 텐데 부하 괜찮을까요?

김영삼 · Answer

refresh 검증은 보통 가벼운 조회(Redis 1회) 수준이라 부담이 크지 않습니다. 클라이언트가 만료 직전에만 갱신하도록 하면(매 요청마다가 아니라) 호출도 분당 한 번꼴입니다. 5분이 부담되면 10~15분도 무방합니다 — 핵심은 "회전+재사용 감지"라 수명 자체는 어느 정도 유연합니다.

secure_pjy · Answer

access 10분 + refresh 회전으로 갔습니다. 탈취 시나리오까지 자동 차단되니 안심이네요. 감사합니다!

댓글 0