서론지금까지 프로젝트를 하며 토큰 방식 인증에 대해 아무런 의문을 가지지 않고 사용해 왔다. 기본 원칙은 다음과 같다.AT TTL은 짧게, RT TTL은 길게AT에 유저의 권한을 포함한 기본 정보 (민감 정보는 제외하고..) 를 담아두기AT 만료 후 RT를 통한 AT 갱신 시, RTR 방식 적용프로젝트를 장기적으로 진행하며 권한 변경 API 등을 설계하던 중, 이런 의문도 들기 시작했다.이미 AT를 발급받은 유저의 권한을 변경하는 이벤트가 일어나면?-> 이전 권한을 가진 AT는 서버에서 어떻게 대응해야 하는가?토큰 방식 인증/인가는 stateless 하기 때문에 (정확하게는 AT에만 해당하는 말이지만), 서버는 AT만을 보고 권한 판단을 할 수 밖에 없다. 이렇게 중간에 권한 변경이 일어난다면, 인증 구..