JWT Payload, 얼마나 담아야 할까?

배경

JWT 기반 인증을 구현하면서 토큰에 어떤 정보를 담을지 고민했다. "DB 조회를 줄이려면 많이 담는 게 좋지 않을까?"라고 생각했지만,

트레이드오프가 있었다.

토큰에 많이 담으면?

장점

• API 요청마다 DB 조회 불필요
• 응답 속도 향상

단점

• 토큰 크기 증가 → 매 요청마다 전송량 증가
• 정보가 바뀌면 토큰 재발급 필요 (만료 전까지 구버전 유지)

실제 크기 비교

최소 (userId만)

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.xxx

→ 약 120자

적당 (userId + role)

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIiwicm9sZSI6IlVTRVIifQ.xxx

→ 약 150자