DB는 서버가 커짐에 따라 병렬처리가 힘들며 늘리기도 힘들다

DB 보관을 유저가 하고 수정은 서버로 보내야만 하는 구조

유저 데이터를 유저가 직접 관리하도록 하자

클라이언트에 그냥 맡기면 직접 수정이 가능하다

하지만 JWT 를 쓰면 오직 읽기만 가능하고

서버를 통해서만 수정이 가능하다

→ 서비스 관리 입장에서 완전 편함

Header - 타입, 해싱알고리즘 정보

Payload - 실제 데이터

Signature - ** 핵심 **

• 사용자는 JWT 를 전체 보내게 되며 이때 조작 여부를 Signature 를 통해 확인한다
• 해쉬값을 만들어서 확인하며 값이 다르면 무언가 손상된 데이터다
• 비밀키만 서버에서 알면 확인이 가능하다

JWT 의 한계

1. 강제 비활성화가 불가능함

   → 공유 서비스에서 JWT 만 사용하는건 좋은 선택이 아니다

   → JWT 가 훔쳐진 경우 만료시킬 방법이 없다

2. 세션 관리는 기본 방식으로 유지하고 JWT 는 조회하기 좋은 쿠키 정도로 사용 중

JWT 의 암호화

1. 서버에서 적용

   : 유저까지 정보를 확인 못하게 가능

   → 오직 서버에서만 정보 읽기까지 가능

2. 사용자에게 적용 → 보조 보안 수단으로 사용 가능