1. 로그인 요청

• 아직 JWT가 존재 X, 클라이언트(React)가 로그인 API로 ID/비밀번호를 보낸다.
• 서버(Spring)가 자격 증명을 검증한 뒤:
  • Access Token / Refresh Token 발급
• 서버측:
  • RT를 DB/Redis 등에 저장하는 설계를 많이 쓴다. (회전, 강제 로그라웃 등을 위해)
• 클라이언트측:
  • AT, RT를 적절한 저장소에 저장(예: AT는 메모리/스토리지, RT는 상대적으로 더 안전한 저장 위치).

→ 로그인 요청은 “기존 토큰으로 인증하는 요청”이 아니라, 사용자 자격 증명으로 새 토큰들을 발급받는 요청

✅ 로그인 시 DB 조회 ≠ Stateful

<aside>

*머릿 속에 DB를 조회하면 Stateful 하다고 각인시켰었다. 로그인 시 userId, role을 알기 위해 DB를 조회한다고 하여서, 뭐지? 싶었는데

첫 로그인 시 DB를 조회하여 알아낸 userId,role를 바탕으로 JWT를 만드는 흐름이었다.*

  로그인 (1회)                                                                                                             
    ↓                                                                                                                      
  DB 조회 → userId, role 확인                                                                                              
    ↓                                                                                                                      
  토큰에 담아서 발급                                                                                                       
    ↓                                                                                                                      
  이후 100번 요청 → 토큰만 검증 (DB 조회 X)                                                                                                                                                                        

추가로 회원가입, 로그인 API는 인증 없이 접근 가능해야 하므로 JWT 사용 X

  회원가입 (JWT 없음)                                                                                                      
    ↓                                                                                                                      
  DB에 사용자 저장                                                                                                         
    ↓                                                                                                                      
  로그인 (JWT 없이 요청)                                                                                                   
    ↓                                                                                                                      
  DB 조회 + 비밀번호 검증                                                                                                  
    ↓                                                                                                                      
  JWT 발급 ← 여기서부터 JWT 사용                                                                                           
    ↓                                                                                                                      
  이후 API 요청 (JWT 포함)  

</aside>

2. 일반 API 요청에서 AT 사용

• 이후 보호된 리소스에 접근하는 모든 요청은:
  • 헤더에 Authorization: Bearer <Access Token> 를 넣어서 보낸다.
• 서버는 요청마다:
  • 헤더에서 AT 추출
  • AT 서명/클레임 검증
  • 유효하면 Authentication 생성 → SecurityContext에 저장
  • 컨트롤러 실행

여기서 AT는:

• 요청 하나를 인증/인가하는 데에만 사용된다.
• 서버가 토큰 무자열을 별도 테이블에 저장해서 “사용 내역”을 관리하지 않는 이상, 요청이 끝나면 서버 쪽에선 잊혀진다 (Stateless)
• 클라이언트 저장소(메모리/스토리지)에는 그대로 남아서 다음 요청에서도 계속 재사용된다. (만료 전까지)