JWT의 장점과 단점
JWT를 통한 인증의 장점
- 상태를 유지하지 않고(Stateless), 확장에 용이한(Scalable) 애플리케이션을 구현하기 용이하다.
-
서버는 클라이언트에 대한 정보를 저장할 필요 없다. (토큰이 정상적으로 검증되는지만 판단한다)
-
클라이언트는 request를 전송할 때 마다 토큰을 헤더에 포함시키면 된다.
-
- 여러대의 서버를 이용한 서비스라면 하나의 토큰으로 여러 서버에서 인증이 가능하기 때문에 JWT를 사용하는 것이 효과적이다.
-
- 만약에 세션 방식이라면 모든 서버가 해당 사용자의 세션 정보를 공유하고 있어야 한다.
- 클라이언트가 request를 전송할 때 마다 자격 증명 정보를 전송할 필요가 없다.
- HTTP Basic 같은 인증 방식은 request를 전송할 때 마다 자격 증명 정보를 포함해야하지만 JWT의 경우 토큰이 만료되기 전까지는 한번의 인증만 수행하면 된다.
- 인증을 담당하는 시스템을 다른 플랫폼으로 분리하는 것이 용이하다.
-
사용자의 자격 증명 정보를 직접 관리하지 않고, Github, Google 등의 다른 플랫폼의 자격 증명 정보로 인증하는 것이 가능하다.
-
토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능하다.
- 권한 부여에 용이하다.
- 토큰의 Payload(내용물) 안에 해당 사용자의 권한 정보를 포함하는 것이 용이하다.
JWT를 통한 인증의 단점
- Payload는 디코딩이 용이하다.
- Payload는 base64로 인코딩 되기 때문에 토큰을 탈취하여 Payload를 디코딩하면 토큰 생성시 저장한 데이터를 확인할 수 있다. 따라서 Payload에는 민감한 정보를 포함하지 않아야 한다.
- 토큰의 길이가 길어지면 네트워크에 부하를 줄 수 있다.
-
토큰에 저장하는 정보의 양이 많아질 수록 토큰의 길이는 길어진다.
-
따라서 request를 전송할 때 마다 길이가 긴 토큰을 함께 전송하면 네트워크에 부하를 줄 수 있다.
- 토큰은 자동으로 삭제되지 않는다.
-
즉 한 번 생성된 토큰은 자동으로 삭제되지 않기 때문에 토큰 만료 시간을 반드시 추가해야 한다.
-
또한 토큰이 탈취된 경우 토큰의 기한이 만료될 때까지 토큰 탈취자가 해당 토근을 정상적으로 이용할 수 있으므로 만료 시간을 너무 길게 설정하지 않아야 한다.
핵심 포인트
-
JWT는 많은 네트워크 트래픽을 사용하지 않도록 Payload에 많은 정보를 포함하지 않는 것이 바람직하다.
-
Payload는 base64로 인코딩 되기 때문에 토큰을 탈취하여 Payload를 디코딩하면 토큰 생성시 저장한 데이터를 손쉽게 확인할 수 있으므로 Payload에는 민감한 정보를 포함하지 않아야 한다.
-
토큰은 자동으로 삭제되지 않으므로 반드시 토큰 만료 시간을 지정해야 한다.
-
토큰이 탈취될 경우를 대비해서 토큰 만료 시간을 너무 길게 설정하지 않는 것이 바람직하다.
무용한 헛소리들