[CS 지식] JWT(Json Web Token) 이란

Notice

즐거움을 코딩으로 표현하는 개발자입니다. 😎

Recent Posts

Recent Comments

Link

« 2025/12 »
일	월	화	수	목	금	토
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

Tags more

Archives

Today

Total

관리 메뉴

<Hello Hosung😎/>

[CS 지식] JWT(Json Web Token) 이란 본문

📖 CS Information

[CS 지식] JWT(Json Web Token) 이란

좌충우돌 백엔드 개발자 일기🧐 2024. 11. 16. 23:55

1. JWT란 무엇인가?

JWT는 JSON Web Token의 약자로, 사용자의 인증 정보와 관련된 데이터를 안전하게 전송하기 위한 인증 토큰입니다. JWT는 세 가지 주요 부분으로 구성됩니다:

헤더(Header): 토큰의 타입과 사용된 알고리즘을 명시합니다.
페이로드(Payload): 인증에 필요한 데이터를 담고 있으며, 이 데이터는 토큰을 발급한 서버와 클라이언트 간에 주고받을 수 있습니다.
서명(Signature): 토큰의 무결성을 검증하기 위해 사용되는 암호화된 부분입니다.

JWT는 세 부분이 .(점)으로 구분되어 있습니다: header.payload.signature.

2. JWT의 작동 원리

JWT의 작동 방식은 다음과 같습니다:

로그인: 사용자가 로그인 시, 서버는 사용자 정보를 확인한 후 JWT를 생성합니다.
토큰 발급: 서버는 사용자의 정보가 담긴 JWT를 발급하고 클라이언트(보통 브라우저나 앱)로 전달합니다.
토큰 저장: 클라이언트는 발급받은 JWT를 로컬 스토리지나 쿠키에 저장하여 사용합니다.
요청 시 토큰 전송: 이후 클라이언트가 서버에 요청을 보낼 때마다 JWT를 Authorization 헤더에 담아 요청을 보냅니다.
서버에서 검증: 서버는 받은 JWT를 서명된 키를 이용해 검증하고, 유효한 토큰이면 요청을 처리합니다.

3. JWT의 구성

JWT는 세 부분으로 나뉩니다:

1) Header (헤더)

헤더는 토큰의 타입(보통 JWT)과 서명에 사용할 알고리즘을 포함합니다. 예를 들어, HS256(HMAC SHA-256) 알고리즘을 사용할 수 있습니다.

{
  "alg": "HS256",
  "typ": "JWT"
}

2) Payload (페이로드)

페이로드에는 클레임(Claim)이 포함됩니다. 클레임은 JWT 안에 저장된 데이터로, 기본적으로 세 가지 유형이 있습니다:

등록된 클레임(Registered Claims): iss (발급자), exp (만료시간) 등.
공개 클레임(Public Claims): 사용자 정의 데이터.
비공개 클레임(Private Claims): 서버와 클라이언트 간에만 사용되는 데이터.

예를 들어:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

3) Signature (서명)

서명은 헤더와 페이로드를 조합하여 비밀 키로 서명한 부분입니다. 이를 통해 JWT의 무결성을 확인할 수 있습니다.

서명 과정은 다음과 같습니다:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

4. JWT의 장점

스케일링 용이성: JWT는 상태를 서버에 저장하지 않고 클라이언트가 토큰을 보관하므로 서버의 부하가 적고 확장성이 뛰어납니다.
보안: 서명된 JWT는 변조가 불가능하며, JWT가 발급되면 클라이언트와 서버 간의 직접적인 인증 과정 없이도 인증이 가능합니다.
유연성: 다양한 알고리즘을 지원하며, 다양한 시스템 간에 인증 정보를 안전하게 교환할 수 있습니다.

5. JWT 사용 사례

JWT는 다음과 같은 인증 및 권한 부여에 많이 사용됩니다:

로그인 시스템: 사용자가 로그인을 하면 서버는 JWT를 발급하고, 클라이언트는 이 토큰을 저장하여 서버에 요청할 때마다 이를 전송합니다.
API 인증: RESTful API와 같은 웹 서비스에서는 클라이언트가 각 요청에 JWT를 포함시켜 API 접근을 허용할 수 있습니다.

6. JWT 사용 시 고려해야 할 보안 점

JWT는 강력한 인증 메커니즘이지만, 잘못된 사용은 보안 취약점을 만들 수 있습니다. 다음은 보안 강화를 위한 몇 가지 팁입니다:

서명 비밀 키 관리: 비밀 키는 매우 중요한 보안 요소이므로 안전하게 보관해야 하며, 주기적으로 교체하는 것이 좋습니다.
토큰 만료 시간 설정: JWT에 만료 시간을 설정하여 토큰이 무한히 사용되지 않도록 합니다. 예를 들어, exp클레임을 사용하여 만료 시간을 설정할 수 있습니다.
HTTP Only 쿠키 사용: 클라이언트 측에서 JWT를 저장할 때 로컬 스토리지 대신 HTTP Only 쿠키를 사용하는 것이 보안에 유리합니다.
Refresh Token 사용: JWT가 만료되었을 때, 새로운 JWT를 발급받을 수 있도록 Refresh Token을 사용하여 안전하게 인증을 갱신합니다.

7. JWT를 Node.js에서 사용하기

Node.js에서 JWT를 사용하는 방법을 간단히 살펴봅니다. 먼저 jsonwebtoken 패키지를 설치해야 합니다.

npm install jsonwebtoken

JWT 생성

const jwt = require('jsonwebtoken');

// 유저 정보와 비밀 키를 이용해 JWT 생성
const token = jwt.sign({ userId: '123456' }, 'your-secret-key', { expiresIn: '1h' });

console.log(token);

JWT 검증

const jwt = require('jsonwebtoken');

const token = 'JWT_TOKEN_HERE';

jwt.verify(token, 'your-secret-key', (err, decoded) => {
  if (err) {
    console.log('Token is invalid');
  } else {
    console.log('Decoded payload:', decoded);
  }
});

8. 마무리

JWT는 웹 애플리케이션에서 안전하고 확장 가능한 인증 방법을 제공합니다. 하지만 그 사용에 있어 보안상 주의할 점들이 많습니다. 올바르게 사용하면, 서버 부하를 줄이고 클라이언트와 서버 간의 안전한 데이터 전송을 보장할 수 있습니다. JWT를 사용하여 여러분의 애플리케이션을 더욱 안전하고 효율적으로 만들 수 있습니다.

참고 자료

'📖 CS Information' 카테고리의 다른 글

[DB] 효율적인 데이터베이스 설계를 위한 다양한 아키텍쳐 (3)	2024.11.15
[CS 지식]Blocking/Non-Blocking, Sync/Async 개념 (0)	2024.08.16
[CS 지식]SQL Injection (0)	2024.08.15
[CS 지식]XSS(크로스사이트 스크립트) (0)	2024.08.15

'📖 CS Information' Related Articles

<Hello Hosung😎/>

[CS 지식] JWT(Json Web Token) 이란 본문

[CS 지식] JWT(Json Web Token) 이란

1. JWT란 무엇인가?

2. JWT의 작동 원리

3. JWT의 구성

1) Header (헤더)

2) Payload (페이로드)

3) Signature (서명)

4. JWT의 장점

5. JWT 사용 사례

6. JWT 사용 시 고려해야 할 보안 점

7. JWT를 Node.js에서 사용하기

8. 마무리

참고 자료

'📖 CS Information' 카테고리의 다른 글

티스토리툴바