JWT 페이로드 안에 데이터는 어느 것이 포함되어야 하는지 질문드립니다

Question

JWT 페이로드 안에 비밀번호가 저장되어 있는데, 주로 JWT 를 사용한다고 가정하면 어느 데이터를 페이로드 안에 넣어야 하고, 넣지 말아야 할 데이터는 어떤 것들인지 알 수 있을까요?!

Answer

보안에 좀 더 신경을 쓴다면

AccessToken에는 간단하게 사용자 아이디와 권한 정도가 적당하고

RefreshToken에는 많은 정보를 넣어 주는게 좋다고 생각합니다.

RefreshToken의 경우 나중에 새로운 Access Token을 생성할 수 있기 때문에

데이터베이스나 Redis, 메모리 캐시 등의 이용을 최소화 할 수 있으면 좋으니까요..

JWT는 '표식'에 해당하는 문자열이기 때문에

'이것만 가지고 저사람을 믿을 수 있나?'

'좀 더 뒷조사를 해 봐야 하나?'

와 같은 생각의 차이에 따라 payload 정보의 양이 결정되어야 합니다.