JWT

사용자 인증 정보를 JSON 형태로 안전하게 전달하기 위한 토큰 표준(RFC 7519)으로, 서버가 세션 상태를 저장하지 않는 무상태(stateless) 인증 방식이다. 토큰은 헤더(알고리즘·타입), 페이로드(사용자 정보·만료시간), 서명(위변조 방지) 세 부분으로 구성되며, Base64URL로 인코딩되어 점(.)으로 연결된다. AI에게 '로그인 API 만들어줘'라고 하면 높은 확률로 JWT 기반 인증 코드를 생성하는데, 이는 JWT가 구현이 비교적 간단하고 서버리스 환경과 궁합이 좋기 때문이다. 그러나 AI 생성 JWT 코드에서 자주 발생하는 문제들이 있다: 토큰 만료 시간을 설정하지 않거나 지나치게 길게 설정, 리프레시 토큰(refresh token) 메커니즘 누락, httpOnly·secure 쿠키 대신 localStorage에 저장(XSS 취약), 토큰 무효화(로그아웃 시 서버 측 블랙리스트) 미구현, 비밀 키를 코드에 하드코딩 등. 이러한 보안 누락은 AI Slop의 전형적 사례이며, JWT를 사용할 때는 반드시 인간이 보안 측면을 검토해야 한다.