JWT 토큰 구조와 활용 방법

📌JWT 토큰

JWT(JSON Web Token)이란 웹 표준으로, 주로 사용자 인증 및 정보 교환에 사용된다. JWT는 세 부분으로 구성되며, 각각 헤더, 페이로드, 시그니처로 나뉜다. 헤더는 토큰의 유형과 서명 알고리즘을 포함하며, 페이로드는 사용자 정보와 같은 클레임을 포함하며, 시그니처는 토큰의 무결성을 보장한다.

JWT는 주로 OAuth와 같은 인증 시스템에서 사용되며, 클라이언트와 서버 간의 안전한 정보 교환을 가능하게 한다. 왜냐하면 JWT는 자체적으로 정보를 포함하고 있어 서버의 상태를 유지할 필요가 없기 때문이다.

헤더	토큰의 유형과 서명 알고리즘을 포함한다.	{"alg": "HS256", "typ": "JWT"}
페이로드	사용자 정보를 포함한다.	{"sub": "1234567890", "name": "John Doe", "iat": 1516239022}
시그니처	토큰의 무결성을 보장한다.	헤더와 페이로드를 인코딩한 후, 시크릿 키를 사용하여 생성한다. 이는 토큰의 무결성을 보장한다.

 

📌JWT 토큰 발급과 검증

JWT는 주로 서버에서 발급되며, 클라이언트는 이를 저장하고 요청 시마다 서버에 전달한다.

발급 과정은: 헤더와 페이로드를 JSON으로 만들고, 이를 Base64URL로 인코딩한다. 그런 다음 시크릿 키와 결합하여 시그니처를 생성한다.

서버는 클라이언트로부터 받은 JWT를 검증한다. 헤어와 페이로드를 디코딩하고, 시그니처를 확인하여 토큰의 무결성을 검증한다. 왜냐하면 시그니처가 유효하지 않으면 토큰이 변조되었을 가능성이 있기 때문이다. JWT는 만료 시간이 포함될 수 있으며, 만료된 토큰은 재발급 받아야 한다.

 

* Spring에서는 보통 jjwt (Java JWT) 또는 Spring Security와 함께 JWT를 사용하여 인증 및 권한 관리를 수행한다.

1. JWT 발급
사용자가 로그인에 성공하면 서버(SPRING)가 JWT를 생성하고 클라이언트에 전달합니다.발급 시 userId, roles 등의 정보를 포함하며, 비밀 키(secretKey)로 서명합니다.
2. JWT 저장
클라이언트는 발급받은 JWT를 HTTP 헤더(예: Authorization: Bearer <JWT>) 또는 쿠키에 저장합니다.사용자 요청마다 해당 토큰을 서버로 전달하여 인증에 사용합니다.
3. JWT 검증
클라이언트가 보낸 JWT를 서버에서 확인하고, 서명과 만료 시간(expiresIn)을 검증합니다.유효하다면 토큰의 payload에서 사용자 정보를 추출하고 인증 상태를 설정합니다.

 

*Base64URL로 인코딩 되는 이유

• 목적:
  바이너리 데이터를 텍스트 형식으로 변환하거나, URL-safe(안전한 URL) 데이터를 생성하기 위함.
• 방식:
  Base64 인코딩을 사용하는데, URL에서 문제가 될 수 있는 +, /, =를 각각 -, _, 제거로 대체합니다.
  이 방식은 Base64의 변형으로 URL에서 안전하게 사용됩니다.

 

📌JWT 토큰 발급과 검증

*JWT를 URL에 포함하는 것이 적합한 경우

1. OAuth 2.0 리다이렉션 시나리오

OAuth 2.0의 Authorization Code Grant 방식에서는, 사용자가 인증을 완료한 후 인증 서버가 리다이렉션 URL을 통해 Authorization Code를 클라이언트 애플리케이션에 전달합니다. (리다이렉션 응답을 받으므로 URL을 통해서 토큰을 전달하는 것이 가장 간단한 방식이다.

 https://example.com/callback?code=abc123&state=xyz

 

2. 비밀번호 재설정 또는 이메일 인증 링크 등

(추후 업데이트 예정)

 

📌참고

https://f-lab.kr/insight/jwt-token-structure-and-usage-20240603

JWT 토큰의 구조와 활용 방법