Opaque Access Token 이란

Opaque Access Token은 토큰 자체만으로는 의미를 해석할 수 없는(accessible claims가 없는) 액세스 토큰을 말합니다. 즉, 토큰을 받은 클라이언트나 리소스 서버가 토큰 내부 정보를 직접 읽을 수 없고, 반드시 인증 서버(Authorization Server)에 문의해야 유효성이나 권한을 알 수 있습니다.

---

핵심 개념

• Opaque(불투명)
  토큰 문자열은 단순한 임의 값처럼 보이며, 사용자 정보·권한·만료 시간 같은 클레임이 노출되지 않음
• 서버 측 검증 필수
  리소스 서버는 토큰을 받으면 토큰 인트로스펙션(Introspection) API 등을 통해
  “이 토큰이 유효한가?”, “어떤 권한이 있는가?”를 인증 서버에 질의

---

JWT Access Token과의 차이

구분Opaque Access TokenJWT Access Token

토큰 내용	의미 없는 문자열	JSON 클레임 포함
클라이언트/리소스 서버	토큰 해석 불가	토큰 자체 해석 가능
검증 방식	인증 서버에 매번 확인	서명 검증으로 자체 확인
제어/폐기	즉시 폐기 가능	폐기 어려움(만료까지 유효)
보안 노출	정보 노출 거의 없음	클레임 노출 가능

---

언제 사용하면 좋은가?

• 🔐 보안이 특히 중요한 시스템
• 🔄 토큰을 즉시 무효화해야 하는 경우 (로그아웃, 권한 변경)
• 🧩 마이크로서비스에서 중앙 통제가 필요한 경우
• 🏢 엔터프라이즈/금융/사내 시스템

---

동작 흐름 예시

1. 사용자가 로그인
2. 인증 서버가 Opaque Access Token 발급
   → 예: X9fA3kLzPq2...
3. 클라이언트가 API 호출 시 토큰 전달
4. 리소스 서버가 인증 서버에 토큰 확인 요청
5. 인증 서버가 유효성·권한 응답
6. 리소스 서버가 요청 허용/거부

---

한 줄 요약

Opaque Access Token은 “서버만 아는 토큰”으로, 해석 불가하지만 통제력과 보안성이 높은 액세스 토큰이다.