[WEB] JWT 토큰 인증이란?

JWT 인증 방식에 대해서 알아보기 전 알면 좋은 것들⬇⬇

https://narangcoding.tistory.com/207

[WEB] 인증방식 / Cookie / Session / Token

 

 

JWT ( JSON Web Token) - 토큰 기반 인증 방식

JWT란 인증에 필요한 정보들을 암호화시킨 JSON토큰을 의미한다.

JWT 기반 인증은 JWT 토큰을 HTTP 헤더에 실어 서버가 클라이언트를 식별하는 방식이다.

 

JWT는 JSON 데이터를 Base64 URL-safe Encode를 통해 인코딩하여 직렬화한 것이며, 토큰 내부에는 위변조 방지를

위해 개인키를 통한 전자서명도 들어있다.

사용자가 JWT를 서버로 전송하면 서버는 서명을 검증하는 과정을 거치게되며  검증이 완료되면 요청한 응답을 돌려준다.

 

사용자가 로그인하면 토큰을 주는데, 이 토큰을 서버가 기억하고 있지 않는다.

stateless - 시간에 따라 바뀌는 상태값을 갖지 않는 것

 

 

구조

암호화된 Hear Payload Signature 3가지 데이터를 이어붙인 형태로 구성되어 있다.

출처: https://catsbi.oopy.io/26b7f35c-e323-4e75-a9ee-2fe3e57ac641

 

출처: https://inpa.tistory.com/entry/WEB-%F0%9F%93%9A-JWTjson-web-token-%EB%9E%80-%F0%9F%92%AF-%EC%A0%95%EB%A6%AC

 

 

세션을 대체하지는 못하는 이유

JWT는 세션처럼 모든 사용자들의 상태를 기억하고 있지 않는다.

따라서 기억하는 대상들의 상태를 언제든 제어할 수 있지 않다.

 

동작방식

1. 사용자가 로그인을 한다.

2. 서버에서는 계정정보를 읽어 사용자를 확인 후 사용자에게 고유한 ID 값을 부여하고  기타 정보와 함께 Payload에 넣는다.

3. JWT 토큰의 유효기간을 설정한다.

4. 암호화할 secret key를 이용해 access token을 발급한다.

5. 사용자는 Access Token을 받아 저장한 후, 인증이 필요한 요청마다 토큰을 헤더에 실어 보낸다.

6. 서버에서는 해당 토큰의 Verify Signature 를 secret key로 복호화한 후, 조작 여부, 유효기간을 확인한다.

7. 검증이 완료된다면 Payload를 디코딩하여 사용자의 ID에 맞는 데이터를 가져온다.

 

---

Q.

JWT가 무엇인가요?

 

A.

JWT는 토큰 기반 인증 방식으로 Header, Payload, Signature의 세 부분으로 이루어집니다. 인증에 필요한 정보들을 암호화 시킨 토큰을 뜻하며 세션/쿠키 방식과 유사하게 JWT토큰을 HTTP 헤더에 실어 서버로 보내게 됩니다.

사용자가 로그인하면 JWT 가 발급되며 사용자는 매 요청시 JWT를 들고다니며 인증된 상태를 유지합니다. 

 

 

<심화>

JSON 형태는 각 부분은 Base64Url로 인코딩 되어 표현됩니다. 

JWT는 인증정보가 되기 때문에 토큰을 필요이상으로 오래 들고있지 않는 것이 좋습니다.

---

 

 

https://tansfil.tistory.com/58?category=255594 

쉽게 알아보는 서버 인증 1편(세션/쿠키 , JWT)