JWT(JsonWebToken) - 개념

참고

 

JWT (JSON Web Token) 이해하기와 활용 방안 - Opennaru, Inc.

 

[JWT] 토큰(Token) 기반 인증에 대한 소개 | VELOPERT.LOG

 

[Server] JWT(Json Web Token)란?

 

세션 기반 인증과 토큰 기반 인증 비교

세션 인증	토큰 인증
정보를 서버에 저장	정보를 클라이언트에 저장
확장성 X - 여러 대의 서버 (분산 서버)를 사용할 경우, 서버 메모리에 세션을 저장하면 그 정보를 공유하는 데 복잡한 설계가 필요하다. - 메모리 저장이든 DB 저장이든 유저 수에 따라 과부하 가능성이 있다.	stateless -> 확장성 O - scalability: 토큰의 유효 검증 및 정보 추출은 모든 서버에서 동일하게 가능하다. - extensibility: 토큰에 선택적 권한만 부여하여 로그인 정보를 사용하는 분야를 확장할 수 있다.

 

 

 

토큰 기반 시스템 작동 원리

 

 

 

JWT, JWS, JWE

JWT

RFC7519표준인 JSON Web Token은, 속성 정보( Claim)를 json 포맷으로 표현한 토큰이다.

클라이언트는 HTTP Request Header에 서버로부터 받은 토큰을 넣으며, 서버는 Header에 포함된 JWT 정보를 통해 인증한다.

사용되는 json 데이터는 URL-Safe( =url로 이용할 수 있는 문자로 구성된 )하다.

JWT는 HMAC 알고리즘을 사용하여 비밀키 또는 Pub/Pri Key 쌍으로 서명 가능하다.

JWS

JSON Web Signature는 json 전자 서명을 한 뒤  url-safe 문자열로 표현한 서명 표준이다. (RFC7515)

JWE

JSON Web Encryption은 json 구조를 사용하는 암호화 방법이다. (RFC7516)

 

 

 

JWT의 구조와 특징

Header.Payload.Signature 와 같이 세 부분으로 이루어지며, 각 부분은 인코딩된 JSON형태로 표현한다.

 

Header

토큰의 타입을 지정하는 typ, 시그니처 해싱 알고리즘을 지정하는 alg 두 가지 정보로 구성

 

Payload

토큰에서 사용하는 속성(Claim)을 저장. Json형태로 정보를 넣을 수 있으며 3 종류가 있다.

Registered Claim: 토큰 정보 표현을 위한 정해진 종류의 데이터. ex) 발급자, 만료시간, 토큰식별자...

Public Claim: 공개용 정보를 위한 사용자 정의 클레임. URI 포맷을 사용한다.

Private Claim: C/S 간 사용할 임의의 정보를 저장하는 사용자 정의 클레임

 

Signature 

토큰 인코딩 또는 유효성 검증 시 사용하는 고유한 암호화 코드

Header와 Payload를 인코딩/해싱하여 생성

 

 

JWT는 토큰 자체에 사용자 관련 정보를 담을 수 있다.

:) 사용자 정보 처리 시 토큰만 있으면 됨

 

JWT는 Stateless하다.

따라서 토큰을 임의로 삭제하거나, 내부의 사용자 정보를 서버에서 수정할 수 없다. 관리를 위해 토큰 만료 시간을 반드시 지정해야 한다.