대기열 처리 및 입장 토큰 발급 매커니즘

사용자 신원 인증 및 입장 토큰 발급 로직

사용자 식별
- 서버에서 사용자를 기억하고 있어야함
- 로그인 자체는 없더라도 예매하기 요청을 누르면 사용자 세션을 저장하고 쿠키를 발급해줘서
- 이후 보내는 요청에서도 같은 사람이 맞는지 신원을 식별해야함
- 안그러면 Polling 보낼때마다 서버에서 누구인지 알수가 없음
입장 토큰 발급 로직
- 토큰에 담겨야 할 것
  - userId / sessionId
  - issuedAt
  - expiresAt (짧게!)
  - allowedActions (seat-select, booking)
  - 서명? → 대기열서버가 발급해준게 맞다는 인증(사인)
어떻게 WAS 가 대기열 서버에서 내려준 토큰인지 검증할 수 있지?
- HMAC / RSA
  - HMAC vs RSA 차이
  - HMAC(대칭키) : 하나의 비밀키(shared secret) 를 공유. 암호화 + 복호화 ex) JWT
  - RSA(비대칭키)
    - 서명은 개인키(private key) → 대기열 서버만, 보안
    - 검증은 공개키(public key) : WAS 서버가 알고 있으면 되는데
    토큰 생성 (대기열 서버)
```
signature = RSA_SIGN(privateKey, payload)
token = base64(payload) + "." + signature
```
    토큰 검증 (WAS)
```
RSA_VERIFY(publicKey, payload, signature)
```

사용자가 한번 좌석 확정 API 요청을 보낸 이후에는 한번 더 같은 토큰으로 다른 좌석 확정 API 요청을 보내지 못하도록 토큰을 비활성화해야할 것 같은데 JWT 를 비활성화할 수 있나?

만료 전까지는 항상 유효하므로 Redis / DB = 출입 명부를 같이 관리

대기열 알고리즘은 어떻게 구성하지?
대기열은 어떤식으로 관리하지?
활성 토큰을 관리하는 방식
대기열 큐를 구현하는 두가지 알고리즘
1. 은행 창구 방식 : 한명이 처리열에서 빠져나가면 한 명이 대기열에 들어옴
2. 놀이공원 방식 : 일정 시간 동안 n명을 들여보내고 m 시간이 지나면 자동으로 빠져나가는 방식

Redis 에서 대기큐를 어떤 자료구조로 구현하지?