JWT (JSON WEB TOKEN)

mungmang 2021. 12. 22. 23:42

2021. 12. 22. 23:42

json web token

설명

JSON 객체를 사용하여 토큰 자체에 정보들을 저장하고 있는 웹토큰.
claims을 안전하게 전달하는 표준.
HMAC 알고리즘 사용 하거나, RSA or ECDSA를 사용하는 공개 / 개인키 쌍을 사용하여 서명이 가능함.
권한 부여 및 정보교환시점에서 사용.

✳︎ claims ?
JWT 의 PAYLOAD 부분을 구성하고 교환되는 정보 집합.

토큰생김새

eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ0ZXN0IiwiYXV0aCI6IlJPTEVfVVNFUiIsImV4cCI6MTY0MDI2NjczOX0.A5bzyF4jkKVmdDzboK8_qsPbDh3qGO3v2lgcSp5K41CxmSgyDZlKxBfcZNiZ754S_IDhFOPO7m18bsBqhZgBMw

위와 같은 형태로 생겼으며, https://jwt.io/ 사이트에서 토큰 정보를 확인할 수 있다.

구성방식

HEADER, PAYLOAD, SIGNITURE 으로 구성된다.
이 세부분은 Base64url 인코딩을 사용하여 별도로 인코딩되며 JWT 생성을 위하 점(.)을 사용하여 연결된다.

var token = base64UrlEncoding(HEADER) + '.' + base64UrlEncoding(PAYLOAD) + '.' + base64UrlEncoding(SIGNITURE);

↓↓↓↓

var token =
eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ0ZXN0IiwiYXV0aCI6IlJPTEVfVVNFUiIsImV4cCI6MTY0MDI2NjczOX0.A5bzyF4jkKVmdDzboK8_qsPbDh3qGO3v2lgcSp5K41CxmSgyDZlKxBfcZNiZ754S_IDhFOPO7m18bsBqhZgBMw

각 구성 설명은 아래와 같다.

HEADER	signiture 정보를 해싱하기 위한 알고리즘 정보들이 담겨있는곳. HMAC, SHA256 or RSA 와 같은 서명 알고리즘 두 부분으로 구성됨.
PAYLOAD	서버, 클라이언트가 주고 받는 시스템에서 실제로 사용될 정보에 대한 내용이 담겨있음. PAYLOAD claims 은 3가지 유형이 존재 - registered claims: 필수는 아니지만 상호 운용을 위해 미리 정의된 클레임(RFC 7519) 집합 (iss, exp, sub, aud..) - public claims: jwt 을 사용하는 사람들이 마음대로 정의. 충돌 방지 위해 네임스페이스를 포함하는 URL로 정의 필요 - private claims: 사용에 동의하고 등록된 클레임이나 공개 클레임이 아닌 당사자간의 정보를 공유하기 위해 생성된 맞춤 클레임
SIGNITURE	토큰의 유효성 검증을 위한 문자열. 이 문자열로 유효한 토큰인지 확인함. 메세지가 변경되었는지 확인하는데 사용.

동작방식

jwt 토큰 인증 방식 기준으로 그려본것이다. (oauth2의 허가는 생략)

accessToken, refreshToken이 jwt 으로 구성되어있다.

장점과 단점

장점
중앙의 인증서버, 데이터 스토어에 대한 의존성이 없고, 시스템 수평확장에 유리하다.
단점
PAYLOAD 정보가 많아지면 네트워크 사용량이 증가함.
토큰이 클라이언트에 저장되기에 서버에서 클라이언트의 토큰을 조작할 수 있다.

참조

https://jwt.io/introduction

JWT.IO

JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.

jwt.io

https://ko.wikipedia.org/wiki/JSON_%EC%9B%B9_%ED%86%A0%ED%81%B0

JSON 웹 토큰 - 위키백과, 우리 모두의 백과사전

JSON 웹 토큰상태인터넷 표준최초 출판일2010년 12월 28일 (2010-12-28)마지막 버전RFC 75192015년 5월조직IETF약어JWT JSON 웹 토큰(JSON Web Token, JWT, "jot”[1])은 선택적 서명 및 선택적 암호화를 사용하여 데

ko.wikipedia.org

https://velog.io/@kshired/Express%EC%97%90%EC%84%9C-JWT%EB%A1%9C-%EC%9D%B8%EC%A6%9D%EC%8B%9C%EC%8A%A4%ED%85%9C-%EA%B5%AC%ED%98%84%ED%95%98%EA%B8%B0-Access-Token%EA%B3%BC-Refresh-Token

Express에서 JWT로 인증시스템 구현하기 ( Access Token과 Refresh Token )

Express에서 jwt를 이용하여 access token으로만 인증을 하는 글은 많이 있는데, refresh token까지 구현한 자료는 그렇게 많지않아 이 글을 쓰게 되었습니다.이 글은 구현에 치중되어 있어, JWT의 자세한

velog.io

https://www.inflearn.com/course/%EC%8A%A4%ED%94%84%EB%A7%81%EB%B6%80%ED%8A%B8-jwt/dashboard

[무료] Spring Boot JWT Tutorial - 인프런 | 강의

Spring Boot, Spring Security, JWT를 이용한 튜토리얼을 통해 인증과 인가에 대한 기초 지식을 쉽고 빠르게 학습할 수 있습니다., [사진] 본 강의는 Spring Boot, Spring Security를 이용해서 JWT 인증과 인가를 쉽

www.inflearn.com

https://techdocs.akamai.com/api-gateway/docs/json-web-token-jwt-val#jwt-claims

JSON web token (JWT) validation

JSON web token is an open standard (RFC 7519) that defines a compact and self-contained method for securely transmitting JSON-encoded information between parties. With <<COMPANY_NICKNAME>>, you can use JWTs to quickly identify and authorize API consumers w

techdocs.akamai.com

'개발 > etc' 카테고리의 다른 글

SSE (Server Sent Event) (1)	2023.08.20
Vault (1)	2023.02.07
헥사고날 아키텍처 (Hexagonal Architecture) (2)	2022.09.25
Rest API (0)	2021.06.02
HTTP관련 (https, spdy, ajax, websocket) (0)	2018.12.09

지식 줍줍 🐿️

JWT (JSON WEB TOKEN)

'개발 > etc' 카테고리의 다른 글

+ Recent posts

티스토리툴바