회원 권한 변경된 후, 이미 발급된 토큰 폐기해야함.

[Dong-Hyeon-Yu]

이미 발급된 토큰에 대해서는 jwt 토큰의 특성상 signature 가 유효한지만 확인함.

회원의 권한이 변경된 이후에, 토큰이 만료되지 않는다면 새롭게 권한이 적용되지 않음.

따라서 role 이나, team 이 변경된 이후에는

이미 발급된 토큰을 사용할 수 없도록 하는 장치가 필요함.

[Dong-Hyeon-Yu]

예상 시나리오1

1. 길동이가 이번학기에 새롭게 회장단이 되었다.
2. 그래서 기존의 회장단이, 홈페이지에서 권한을 올려주었다.
3. 신나는 마음으로 홈페이지에 길동이가 로그인 했지만, 브라우저에 저장되어있던 기존의 토큰으로 로그인 된다.
4. 기존의 토큰은 회장단 권한이 적용되지 않은 토큰이므로, 길동이는 정상적으로 홈페이지를 이용할 수 없다.

예상 시나리오2

1. 길동이가 동아리를 나가게 되었다.
2. 그래서 기존의 회장단이, 홈페이지에서 회장단 권한을 빼앗았다.
3. 혹시나 하는 마음으로 길동이가 홈페이지에 로그인 했는데, 브라우저에 저장되어 있던 기존의 토큰으로 로그인 된다.
4. 기존의 토큰은 회장단 권한이 적용되는 토큰이므로, 길동이는 홈페이지를 마구 이용할 수 있다.

[Dong-Hyeon-Yu]

대안으로는

• 세션을 함께 사용하는 방법
• 회원 권한이 변경되었을 때, 이벤트를 발생해서 db에 저장된 리프레시 토큰을 삭제하기