Stateless한 JWT는 안전한 로그아웃을 구현할 수 없다 JWT 방식으로 발급한 토큰의 제어권은 서버가 가지고 있지 않다. 구조적으로 생각해보면 당연한 이야기이다. JWT를 사용하는 장점이 Stateless함을 바탕으로 빠른 인증 처리인데, 그 과정에서 서버는 해당 토큰이 유효한지 만을 체크하기 때문에, 서버에선 해당 토큰에 대한 정보가 아무것도 없다. 따라서 토큰이 탈취당한 경우 다음과 같은 상황이 발생한다. 사용자A = 토큰의 주인 해커 = 사용자 A의 토큰 탈취자 사용자 A가 서버에 로그인 요청 서버 : 보자.. 토큰이 유효하네? 패스~ 해커가 사용자 A의 토큰으로 로그인 요청 서버: 보자.. 토큰이 유효하네? 패스~ 이런 상황은 JWT 토큰의 유효시간을 줄이면 그나마 좀 방지가 될 것 같다..