티스토리 뷰
JWT (JSON Web Tokens) 인증 시스템에서 토큰을 무효화하는 방법 중 하나는 블랙리스트(blacklist)를 사용하는 것입니다. 이 방법은 특정 토큰을 무효화하기 위해 그 토큰을 블랙리스트에 추가하는 것을 의미합니다.
블랙리스트를 사용하는 이유
JWT는 상태가 없는(stateless) 인증 메커니즘이기 때문에, 서버는 클라이언트로부터 전달받은 토큰이 유효한지만 확인하면 됩니다. 이로 인해 서버는 세션을 관리할 필요가 없어져서, 확장성이 향상되는 장점이 있습니다.
하지만 이런 장점에도 불구하고 JWT 인증 시스템에서는 아직 해결해야 하는 문제가 있습니다. 그 중 하나가 바로 "토큰의 무효화" 문제입니다. 예를 들어, 만약 토큰이 탈취당한 경우, 이 토큰이 만료되기 전까지는 탈취자가 이 토큰을 사용하여 시스템에 접근할 수 있습니다. 이런 위험을 방지하기 위해, 특정 조건에서 토큰을 강제로 무효화하는 기능이 필요한데, 이때 블랙리스트를 사용하게 됩니다.
블랙리스트 구현 방법
블랙리스트를 구현하는 가장 일반적인 방법은 데이터베이스를 사용하는 것입니다. 토큰이 블랙리스트에 추가되면, 그 토큰은 무효화된 것으로 간주됩니다. 서버는 클라이언트로부터 토큰을 받을 때마다 이 토큰이 블랙리스트에 있는지 확인하고, 만약 그렇다면 그 토큰을 거부합니다.
블랙리스트를 사용하는 경우, 토큰이 만료되었거나 사용자가 로그아웃한 경우 등 특정 조건에서 그 토큰을 블랙리스트에 추가합니다. 이렇게 하면, 서버는 그 토큰을 더 이상 인증 수단으로 받아들이지 않게 됩니다.
또한, 블랙리스트는 만료 기간을 가질 수 있습니다. 즉, 블랙리스트에 추가된 토큰은 그 토큰의 만료 시간이 되면 자동으로 블랙리스트에서 제거됩니다. 이 방법은 블랙리스트가 너무 커지는 것을 방지하고, 블랙리스트를 효율적으로 관리하는 데 도움이 됩니다.
블랙리스트의 단점
블랙리스트를 사용하면 JWT 인증 시스템의 확장성이 약간 손상될 수 있습니다. 왜냐하면 서버는 이제 클라이언트로부터 받은 모든 토큰을 데이터베이스와 비교해야 하기 때문입니다. 이로 인해 서버의 부하가 증가하고, 응답 시간이 늘어날 수 있습니다.
또한, 블랙리스트를 사용하면 토큰 관리에 추가적인 로직이 필요합니다. 예를 들어, 토큰이 만료되었을 때 그 토큰을 블랙리스트에서 제거하는 등의 로직이 필요합니다.
블랙리스트를 사용하는 것은 JWT 인증 시스템에서 특정 토큰을 무효화하는 효과적인 방법입니다. 이 방법은 보안성을 향상시키지만, 성능과 확장성에 약간의 손상을 가져올 수 있습니다. 따라서, 각 시스템의 요구사항에 따라 이 방법을 사용할지 여부를 결정해야 합니다.
'개발' 카테고리의 다른 글
| [개발]JWT 갱신 토큰 관리 방법(7)- 로컬스토리지/쿠키 구현 (0) | 2023.07.03 |
|---|---|
| [개발]JWT 갱신 토큰 관리방법(6)-블랙리스트 구현 (0) | 2023.07.03 |
| [개발]JWT갱신토큰 관리 방법(4)-DB사용 구현 (0) | 2023.07.03 |
| [개발]JWT 갱신 토큰 관리 방법(3)-DB 사용 (0) | 2023.07.03 |
| [개발]JWT 갱신 토큰 관리 방법 (2) - 로컬스토리지/쿠키 사용 (0) | 2023.07.03 |