토큰 처리에 대한 생각..

[redgoose-dev]

문제점

• 블랙리스트 토큰 목록을 만들기에 부담이 많이 느껴진다.
• 구조적으로 토큰의 폐기는 불가능해 보인다. 서버에 저장되는 형태가 아니기 때문에...
• 로그아웃은 클라이언트에게 맡겨버리는게 나을거 같다.
• 여기서는 퍼블릭 토큰을 리턴해서 클라이언트에서 오스값을 바꿔서 요청하길 바랄 뿐이다.
• 누가 토큰을 탈취해서 사용하면 어떻게 되는지 고민중이다.

고민거리..

• 만료시간 안에 로그아웃 되어있는 상황..
• 만료가 되면 기본적으로 블록이 되지만 만료시간안에 로그아웃을 하면 토큰을 계속 사용할 수 있다는것이 문제다.
• 로그아웃될때 토큰 특정값을 블랙리스트에 추가시킨다.
• 로그아웃된 토큰으로 접근을 하면 블랙리스트 목록에서 검사해야한다. 이 부분은 처리 비용이 많이들기 땨문에 최대한 사용 안하게 해야한다.
• 유저토큰일때 블랙리스트 토큰 검사를 우선적으로 해야한다.
• 낮은 인증을 필요한 요청인데 블랙리스트 검사가 필요없을때가 있다.
• 그래서 level이 1 이상이면 블랙리스트 검사를 하거나 env에서 정한 레벨 이상을 요구할때 블랙리스트 검사를 하는게 좋아보인다.
• 블랙리스트가 무한정 쌓이게 할 순 없다.
• 관리자에 특정한 기능을 만들어서 만료된 시간이 지난 토큰은 삭제되도록 하는것이 좋아보인다.

결론

• 기본적으로 토큰은 만료시간이 지나면 자연사한다.
• 로그아웃한다고 하더라도 만료시간 안에는 토큰은 사용가능하다.
• 블랙리스트는 만든다.
• 로그아웃할때 토큰을 블랙리스트에 추가한다.
• 특정레벨 이상의 인증을 요구할때 블랙리스트 검사를 한다.
• 블랙리스트에서 만료된 토큰은 삭제할 수 있는 도구가 필요하다.

[redgoose-dev]

아이디와 비밀번호로 그 레벨이 들어있는 토큰을 만들 수 있을것이다