JWT, AT, RT, RTR, REDIS(블랙리스트)

사용자가 로그인한다.

서버는 AT(TTL: 15min)와 RT(TTL: 24h)를 발급한다. DB에 발급한 RT를 저장한다.

사용자는 이후 AT로 서버에 요청을 보낸다. 서버는 DB 조회 없이 AT의 유효성과 TTL을 판단한다.

AT가 유효하지만 만료되었다면 만료를 리턴한다. 클라이언트는 RT를 통해 AT 재발급을 요청한다. 서버는 RT를 DB에서 확인하고 AT와 RT를 새로 발급한다(RTR).

RT가 만료(24h) 후 요청한다면 로그인 해야한다. RT 만료 전이라면 RT를 새로 발급하여 로그인이 유지될 수 있다(RTR).

회원 탈퇴를 한다고 해도 AT는 살아있다. AT가 유효하다면 서버는 DB 조회 없이 허용하므로 REDIS 블랙리스트를 활용한다.

RT를 디바이스 기준 발급인지 유저 기준 발급인지에 따라 다르다. 유저 기준 발급이라면 모바일에서 로그인한 후 pc에서 로그인하면 모바일 로그인은 다시 해야한다.

https://g.co/gemini/share/69097300d150