JWT (Json Web Token)
웹 표준 (RFC 7519)
.
를 구분자로 세 부분으로 나누어져 있다.
JOSE 헤더 (Json Object Signing and Encrytion)
- JWT 토큰을 해석하는 방법 명시
JWT Claim Set
토큰에 포함할 내용
JWT는 토큰을 디코딩해서 값을 바로 확인할 수 있는 구조
토큰 자체가 데이터를 가질 수 있다.
데이터베이스 조회없이 사용자의 정보를 담을 수 있다.
- BUT ... 이 부분은 암호화하지 않기 때문에 서명 없이도 누구나 열람 가능
- 보안이 중요한 데이터는 피하고, 필요한 최소한의 정보만 담아야한다.
- ALSO ... 이 부분의 내용이 많아지면 토큰의 길이도 같이 길어진다.
- 적당량만 담을 수 있도록 한다.
Signature
- 해당 토큰의 위변조 여부 검증
서버가 stateless되는 것이 장점!!!
데이터 베이스를 조회하지 않아도 되는 것이 가장 큰 장점!!!