[Backend] Redis TTL + JWT

목차 (OPEN)

🧠 Redis TTL

📚 TTL (Time To Live)이란?
🧐 왜 TTL을 설정해야 할까?

🔥 JWT 기반 인증 시스템에서의 TTL 설정 전략

💡 왜 AccessToken은 Redis에 저장하지 않을까?
❗ AccessToken을 Redis에 저장하는 경우

🧠 Redis TTL

오늘은 JWT + Redis 인증 시스템에서 TTL (Time To Live)을 꼭 설정해야 하는 이유에 대해서 알아보고자 한다. 🧐

📚 TTL (Time To Live)이란?

TTL은 Redis에서 데이터가 자동으로 삭제되는 시간을 말한다.

즉, Redis에 값을 저장할 때 유효 기간을 함께 설정하면, 그 시간이 지나면 자동으로 삭제되는 것이다.

redisTemplate.opsForValue().set("RT:userId", refreshToken, Duration.ofMillis(expirationMillis));

위의 코드에서 Duration.ofMillis(expirationMillis) 부분이 TTL을 설정하는 코드이다.

🧐 왜 TTL을 설정해야 할까?

1️⃣ 보안 🔒

만약 사용자의 토큰이 Redis에 무기한 저장된다면,

로그아웃 후에도 토큰이 남아 있어서 재사용 가능할 뿐만 아니라

악의적인 사용자가 탈취한 토큰을 오랫동안 사용할 수도 있을 것이다.

👉🏻 이럴 때 TTL을 설정하면, 해당 시간 이후엔 Redis에서 자동 삭제되므로 보안 사고를 줄일 수 있다.

2️⃣ 시스템 성능 🏃‍♀️💨

Redis는 메모리 기반 저장소이기 때문에 오랫동안 데이터를 계속 쌓아두면 메모리 부족 현상이 발생한다.

👉🏻 따라서 TTL 설정을 통해 사용하지 않는 오래된 데이터는 자동으로 삭제되어 Redis가 가볍게 유지되도록 해주어야 한다.

3️⃣ 유지보수 용이성 🛠️

TTL을 설정해두면, 별도로 삭제 로직을 작성할 필요가 없다.

👉🏻 따라서 코드가 훨씬 간결해지고, 실수를 줄일 수 있다.

🔥 JWT 기반 인증 시스템에서의 TTL 설정 전략

JWT 기반 인증 시스템에서는 주로 아래 두 가지 토큰을 사용한다.

토큰 종류	역할	TTL 권장값	Redis 저장 필요성
🔑 Access Token	사용자 인증 / 인가 수행	⏳ 15~30분	보통 저장하지 않음
🔄 Refresh Token	AccessToken 재발급용	⏳ 7~14일	Redis에 저장 + TTL 설정

💡 왜 AccessToken은 Redis에 저장하지 않을까?

1️⃣ JWT의 본질은 Stateless 구조

JWT는 토큰 자체에 모든 인증 정보 (userId, 권한, 만료 시간 등)을 담고 있다.

따라서 서버는 JWT를 받을 때, 서버의 세션이나 DB를 조회하지 않아도 이 토큰이 유효한지 자체 검증을 할 수 있다.

즉, 서버는 기억을 하지 않아도 토큰만 보고 처리할 수 있으니 Redis에 따로 저장할 필요가 없다.

2️⃣ AccessToken은 수명이 짧음

보통 AccessToken은 수명을 짧게 설정해서, 탈취되더라도 피해가 제한적이게 설계된다.

따라서 TTL이 짧기 때문에 오래 보관할 필요가 없으므로 굳이 저장하지 않고, 서버 자원 낭비를 줄이는 것이다.

❗ AccessToken을 Redis에 저장하는 경우

바로 위에서 AccessToken은 Redis에 저장할 필요가 없다고 했지만,, 😅

AccessToken을 Redis에 저장해야 하는 경우도 존재한다.

바로 블랙리스트 처리를 해야하는 경우이다.

위의 내용을 읽으면서,

💬 "JWT는 Stateless라서 로그아웃 처리가 불가능하다고 들었는데요?"

라는 의문점을 품으며 AccessToken이 필요한 것이 아닌가 생각하신 분들이 있을 것이다.

이거에 대해서 설명하자면,

원칙적으로는 AccessToken이 만료되기 전까지는 토큰이 유효하기 때문에

로그아웃을 해도 토큰을 가진 사람은 계속 접근이 가능하게 된다. 🚨

그래서 필요한 것이 블랙리스트이다.

블랙리스트 처리를 한다는 것은

1️⃣ 로그아웃 시 해당 AccessToken을 Redis에 저장해두고

2️⃣ TTL은 AccessToken의 남은 만료 시간과 동일하게 설정함으로써

3️⃣ 이후 요청이 들어왔을 때 이 토큰이 블랙리스트에 있는지 확인해서 거절하는 방법으로 로그아웃을 처리하는 것이다.

예를 들어 아래와 같이 설정해둘 수 있다.

public void blacklistAccessToken(String accessToken, long expirationMillis){
    String tokenHash = DigestUtils.md5DigestAsHex(accessToken.getBytes());
    redisTemplate.opsForValue().set("BL:" + tokenHash, "blacklisted", Duration.ofMillis(expirationMillis));
}

'💻공부 기록 > 📌 Backend' 카테고리의 다른 글

[Backend] RedisConfig 작성: Redis 연동하기 (1)	2025.06.29
[Backend] RedisTemplate (1)	2025.06.28
[Backend] JWT (0)	2025.06.21
[Backend] Java 17 VS Java 21 (2)	2025.06.17
[Backend] CI 설정에서 distribution (0)	2025.06.17

SSOSSO._.

[Backend] Redis TTL + JWT

🧠 Redis TTL

📚 TTL (Time To Live)이란?

🧐 왜 TTL을 설정해야 할까?

🔥 JWT 기반 인증 시스템에서의 TTL 설정 전략

💡 왜 AccessToken은 Redis에 저장하지 않을까?

❗ AccessToken을 Redis에 저장하는 경우

'💻공부 기록 > 📌 Backend' 카테고리의 다른 글

티스토리툴바

[Backend] Redis TTL + JWT

🧠 Redis TTL

📚 TTL (Time To Live)이란?

🧐 왜 TTL을 설정해야 할까?

🔥 JWT 기반 인증 시스템에서의 TTL 설정 전략

💡 왜 AccessToken은 Redis에 저장하지 않을까?

❗ AccessToken을 Redis에 저장하는 경우

'💻공부 기록 > 📌 Backend' 카테고리의 다른 글

'💻공부 기록/📌 Backend' Related Articles

티스토리툴바