JWT를 발급하여 클라이언트 측으로 전송하면 인증/인가에 대한 주도권 자체가 클라이언트 측에 맡겨진다. 그래서 JWT를 서버 저장소에 기억 하고 기억되게하여 저장소에 저장되어있는 refresh 토큰만 사용할 수있도록 한다. 구현 1. 발급시 데이터베이스 저장소에 저장2. 기존 refresh 토큰을 삭제하고 새로 발급한 refresh 토큰을 저장

Refresh Rotate: reissue 엔드 포인트에서 refreh 토큰을 받아 access 토큰 갱신시 refresh 토큰도 함께 갱신하는 방법장점- refresh 토큰 교체로 보안성 강화- 로그인 지속시간 길어짐추가 구현 작업발급했던 refresh 토큰을 모두 기억한 뒤, rotate 이전의 refresh 토큰은 사용하지 못하도록 해야한다.

로그인 전송 => 두가지 토큰을 응답 => 두가지 토큰을 웹브라우저에서 관리하다가 => access토큰을 서버측으로 보냄 => 서버 측에서 jwt 필터를 통해 access 토큰을 검증해서 access 토큰이 정상이면 정상, 만료면 axios interceptor에서 400 응답이오면 refresh 토큰을 서버측에 전송 => refresh 토큰을 검증하고 새로운 access 토큰을 발급(Reissue 로직 작성)

프론트에서 데이터 요청을 보낸 후 데이터를 획득한다. 이때 권한이 필요한 경우 Access 토큰을 요청 헤더에 첨부하는데 Access 토큰 검증은 서버측 JWT 필터에 의해 진행된다. 이때 Acess 토큰을 요청 헤더에 첨부하는데 Access 토큰 검증은 서버측 JWTFilter에 의해 진행된다. 이때 Access 토큰이 만료된 경우 특정한 상태 코드 및 메세지를 응답해야한다.

로그인이 성공하면 기존에는 단일 토큰만 발급했지만 Access/Refresh에 해당하는 다중토큰을 발급해야함 Access: 헤더에 발급 후 프론트에서 로컬 스토리지 저장Refresh: 쿠키에 발급

JWT 검증 필터가 필요한 이유: - Stateless한 인증 처리: 세션에 사용자를 저장하지않고, 클라이언트가 매 요청마다 토큰을 보내는 방식 => 따라서 서버는 인증 상태를 유지하지 않아도됨- 확장성: 마이크로서비스에서 공통으로 jwt만 해석하면 되므로 인증로직을 통합하기 쉽다.- 보안성: 토큰은 서명되어있기 때문에 변조를 방지할 수 있고 만료 시간이 있으므로 일정 시간 후 자동 로그 아웃이 가능 1. JWT 검증 필터 개념: jwt 필터는 모든 요청에 대해 한 번만 실행되는 필터로 jwt 토큰을 검사하는 역할은 한다. 스프링 시큐리티 환경에서 사용자의 요청에 포함된 jwt를 검증하고 유효한 경우 인증 객체를 생성하여 보안 컨택스트에 등록스프링 시큐리티 filter chain에 요청에 담긴 JW..