25편에서는 Security · MVC 실무 설정에서 자주 발생하는 실수들을 요청 흐름 기준으로 정리했습니다.이번 글에서는 JWT 기반 Stateless 인증 환경에서 항상 함께 등장하는 질문을 다뤄보겠습니다.Access Token만 쓰면 안 될까? 왜 굳이 Refresh Token이 필요할까?이 질문의 답은 편의성이 아니라 보안과 운영의 균형에 있습니다.1. Stateless 인증의 기본 전제JWT 기반 인증은서버가 인증 상태를 저장하지 않는다는 전제를 가집니다.즉,요청마다 토큰을 보내고요청마다 토큰을 검증합니다.이 구조는서버 확장에 유리하고세션 동기화가 필요 없으며클라우드 환경에 적합하지만, 토큰이 유출되면 바로 위험해진다는 단점도 함께 가집니다.2. Access Token만 사용할 때의 문제만약 A..