JWT는 인증과 인가를 동시에 처리할 수 있는 구조를 가진다.

인증 (Authentication)

“이 요청을 보낸 사용자가 누구인가?” ”유효한 로그인 상태인가?”

JWT에서 인증이란?

: 클라이언트가 전달한 JWT가 유효한지 검증하는 과정

• 서버는 다음을 확인:
  • 서명(Signature)이 위·변조되지 않았는지
  • 만료되지 않았는지(exp)
  • 형식이 올바른 토큰인지

인가 (Authorization)

“이 사용자가 이 API를 호출할 권한이 있는가?”

JWT에서 인가란?

• 인증이 끝난 사용자에 대해
• 해당 요청을 수행할 권한이 있는지 판단

{
  "sub": "20",
  "role": "USER", // USER(일반 사용자 API만 허용), ADMIN(관리자 API 허용)
  "exp": 1736073600
}

→ 이때 서버는 DB 조회없이 토큰의 role만 보고 판단 (Stateless 인가)

Refresh Token은 왜 인가에 사용하지 않을까?

• Refresh Token의 목적은 Access Token 재발급에 있다.

• 때문에 role 정보 X, API 접근 X, 보안상 서버 저장(Stateful) 허용의 특징이 있다.

  → 즉 인가 판단 주체가 아니며, 인증 연장을 위한 보조 수단이다.