🔒 JWT란?

웹 서비스를 만들다 보면 가장 먼저 부딪히는 것이 “사용자 인증” 문제입니다.
세션/쿠키 방식부터 OAuth, 토큰 기반 인증까지 다양한 방법이 존재하는데, 그중 가장 많이 쓰이는 것이 JWT(Json Web Token) 입니다.

이번 글에서는 JWT가 무엇이고, 왜 필요한지, 어떻게 사용하는지 정리해보겠습니다.

---

📌JWT(Json Web Toekn) 정의

JWT(Json Web Token) 는 웹 표준(RFC 7519)으로 정의된 인증 및 정보 교환을 위한 토큰 형식입니다.

• JSON 포맷으로 데이터를 담습니다.

• 전자서명(Signature) 을 포함해 위·변조를 방지합니다.

• 서버가 세션을 직접 저장하지 않아도 되므로 Stateless 인증 방식에 활용됩니다.

즉, 클라이언트가 JWT를 가지고 있으면 서버는 추가 DB 조회나 세션 저장소 없이도 사용자의 신원을 확인할 수 있습니다.

1. JWT 구조

JWT는 Header.Payload.Signature 형태의 세 부분으로 구성됩니다.

xxxxx.yyyyy.zzzzz

구성 요소	설명
Header	알고리즘 정보(HS256, RS256 등) + 타입(JWT)
Payload	사용자 정보(예: id, email, role) + 만료 시간(exp)
Signature	Header + Payload를 비밀키로 서명하여 변조 방지

예시 (디코딩 후):

{
  "alg": "HS256",
  "typ": "JWT"
}
{
  "id": 1,
  "username": "seunghyeok",
  "exp": 1692897200
}

2. JWT 동작 과정

1. 로그인 요청 → 사용자가 ID/PW를 서버에 전달

2. 토큰 발급 → 서버가 사용자 정보를 확인 후 JWT 생성, 클라이언트에 전달

3. 인증 요청 → 클라이언트가 API 요청 시 Authorization: Bearer 헤더에 담아 전달

4. 서버 검증 → 서버는 비밀키로 JWT 서명(Signature) 검증 후 권한 체크

5. 응답 → 정상 요청이면 데이터 반환

👉 세션/쿠키 기반 인증과 달리 서버가 상태(state)를 저장하지 않기 때문에 Stateless 인증이라고 부릅니다.

3. JWT의 장점

• Stateless: 서버에 세션 저장소가 필요 없음

• 확장성: 마이크로서비스, 다른 도메인 간 인증에 용이

• 보편성: OAuth2, OpenID Connect 등 다양한 인증 표준에서 활용

4. JWT의 단점

• 토큰 크기: Payload에 많은 정보를 넣으면 크기가 커짐 → 네트워크 부담

• 무효화 어려움: 발급된 토큰은 만료 전까지 유효 → 강제 로그아웃 처리 어려움

• 보안 취약성: 토큰 탈취 시 그대로 사용 가능 → 반드시 HTTPS 필요

  💡 보안 고려사항

  • 토큰 저장 위치
    • localStorage: 간단하지만 XSS 공격에 취약
    • HttpOnly Cookie: 보안성 ↑, 하지만 CORS 설정 필요
  • 토큰 만료 시간 설정
    • Access Token 짧게, Refresh Token 길게 → 재발급 전략 필요
  • HTTPS 필수
    • 평문 전송 시 토큰 탈취 위험

5. JWT의 활용 예시

• 웹/모바일 로그인 인증

• OAuth2 기반 SNS 로그인 (구글, 네이버, 카카오)

• API 서버 간 통신 인증 (Microservice 환경)

• Refresh Token 전략으로 장기 세션 유지

  
  

📗정리

JWT는 현대 웹 서비스에서 인증의 핵심 요소입니다.
하지만 만능은 아니며, 적절한 만료 정책, 저장 전략, Refresh Token 운용 등을 함께 고려해야 안전한 인증 시스템을 만들 수 있습니다.