[JWT 기초] JWT, TOKEN 토큰 베이스 로그인

JWT, TOKEN 토큰 베이스 로그인

출처 🙇‍♂️

https://www.youtube.com/watch?v=zC5dLbZMAW0

Token Based Auth (JWT)에 대한 내용이다.

Session Based Auth

로그인

• 클라이언트 : ID, PW와 함께 request
• 서버 : ID,PW 확인 후 맞다면 sessionID를 쿠키에 넣어 response
  • 서버 내부에서 sessionId를 관리

로그인 이후

• 클라이언트 : 요청을 할 때 sessionID를 함께 보냄
• 서버 : sessionID가 존재한다면/맞다면 로그인 시에만 볼 수 있는 데이터를 응답

Token Based Auth

왜 등장했는가?

• 세션기반 인증으로는 여러 서비스, 여러 서버의 인증을 처리하기가 너무 복잡하기 때문

로그인

• 클라이언트 : ID, PW와 함께 request
• 서버 : ID, PW 확인 후 맞다면 토큰을 response
  • 서버가 sessionID를 관리하지 않음

로그인 이후

• 클라이언트 : 요청 시 토큰을 함께 보냄
• 서버 : 토큰이 올바른지 확인 후 클라이언트에게 적절한 권한을 부여

장점

• 클라이언트가 다른 서비스를 이용하기 위해 다른 서버에 요청할 때에도 같은 토큰과 함께 요청한다
• 서버는 토큰이 올바른지 아닌지만 확인하고, 올바르다면 권한 부여
• -> 세션 상태 session state를 매번 관리할 필요가 없다. 토큰만 보고 권한을 부여한다

JWT - Json Web Token

• JWT는 토큰 기반 인증의 가장 대표적인 방식이다.
• jwt 공식 페이지에서 어떻게 인코딩,디코딩되는지 확인 가능

인코딩

• 클라이언트가 (서버로부터 받은)토큰을 서버에게 보낼 때의 상태. 암호화되어 있다
• 3단계로 이루어져 있다 - 헤더 header, 페이로드 payload, 시그니처 verify signature

헤더 header

• 인코딩할 알고리즘, 토큰 타입 정보가 들어있다

페이로드(내용) payload

• sub, name, iat(유효기간?) 가 기본으로 들어 있으나 우리가 원하는 정보로 키,값을 지정 및 추가할 수 있다.

• 예를 들어 id, name, exp(만료일자)

• 원하는 정보를 추가할 수 있지만 최소한의 정보만 들어있는 게 좋다. (네트워크로 전송되는 값이므로 가벼울수록 좋음)

• 토큰의 유효기간은 몇분~1시간 정도로 짧은 편이다.

서명(시그니처) verify signature

• 헤더, 페이로드, 시크릿 키가 포함된다.

• 시크릿 키를 지정한 후에 페이로드/헤더를 변경하면 invalid signature라는 오류가 발생한다.

• 만약 시크릿 키가 유출된다면 새로운 시크릿 키 값을 지정할 수 있다. (이전 시크릿 키로 발급된 토큰은 무효화된다)

❗ 헤더, 페이로드는 encryption(암호화)가 되지 않는다. 중요한 정보는 넣지 말아야 한다.

이제 아래 링크를 참조해 실제 구현을 해야겠다..!!

https://ocblog.tistory.com/56