"Stop Using JWTs" — 인증에 JWT 쓰지 말고 그냥 session cookie 써라
JWT는 OAuth/SSO 같은 cross-service 토큰 용도지 자기 앱 로그인 세션 용도가 아니다. session ID + Redis/DB 한 줄 lookup이 99% 케이스에 더 단순하고 더 안전하고 더 revocable. "우리는 무상태가 필요해"는 대부분 안 필요해. 본문이 거의 잔소리 톤인데 그게 정확해서 좋다.
↗ news.ycombinator.com