👣 JWT 토큰이란?

JWT 토큰은 JSON Web Token의 약자로 전자 서명된 URL-safe의 JSON이다.

원래 서버에 저장해야 할 세션 값을 그냥 각 사용자에게 모두 넘겨버리자는 것이다.
그리고 인증 시에 해당 토큰의 유효성을 검증할 모듈 하나만 있으면 이것 자체가 세션 저장소 전체를 대체하는 수단이 되는 것이다.

JWT은 대부분의 프로그래밍 언어에서 사용되면서 자기 수용적이라는 특징이 있다.

자기 수용적인 JWT는 시스템에서 발급된 토큰이 토큰에 대한 기본정보, 전달할 내용, 그리고 토큰이 검증됐다는 것을 증명해준다.

JWT는 사용자의 고유성을 입증할 만한 데이터를 포장하여 토큰을 생성한다.

그리고 해당 토큰을 클라이언트에게 전송받았을 때,

해당 토큰안에 들어있던 고유 데이터로 사용자를 식별하여,

별도의 인증 과정없이 바로 작업을 수행할 수 있게 된다.

JWT는 복호화(decoding/암호화와 반대대는 말)가 가능하기 때문에 SECRET_KEY를 잘 관리해주어야 한다.

(보안취약, 사용자에 대해 민감한 정보를 저장하는 것은 권장하지 않는다.)

JWT는 .을 기준으로 세 파트로 나뉜다.

📍Header

{
 	"alg": "서명 시 사용하는 알고리즘",
	"kid": "서명 시 사용하는 키를 식별하는 값",
      	"typ": "타입"
}

헤더(Header)에는 JWT를 어떻게 검증하는지에 대한 내용이 들어가 있다.

토큰의 타입, 암호화 알고리즘이 어떤 알고리즘인지에 대한 정보가 들어있다.

해시 알고리즘의 이름을 적어줄 수 있다.

📍payload

{
	"sub": "jinhui,Lee",
    	"exp": 4561232123,
    	"iat": 1234568734
}

토큰에 담아서 우리가 보내고자 하는 데이터가 이곳에 담겨져 있다.

이 정보의 조각은 클레임(claim) 이라고 하고, key - value의 한 쌍으로 이루어져 있다.
그리고 payload에는 여러 개의 클레임을 담을 수 있고,

클레임을 공개(public) 혹은 비공개(private) 할 것인지 등록(registered)할 것인지 결정할 수 있다.

📍signature

header+paylode

시그니처(signature)에는 위의 헤더(header)와 페이로드(Paylaod)를 합친 문자열을 서명한 값이다.

서명은 헤더의 alg에 정의된 알고리즘과 secret key를 이용해 생성하고 Base64 URL-Safe로 인코딩한다.

secret key를 포함해서 암호화가 되어있다.

생성된 JWT는 점(.)을 구분자로 헤더, 페이로드, 시그니쳐로 나눠서 서로 전달하게 되고,

서버는 헤더의 alg, kid 속성과 공개 키를 이용해 검증할 수 있다.

검증(이 토큰이 신뢰할 수 있는 토큰인가?)가 성공하면 페이로드의 값으로 접근을 해서 사용할 수 있는 것.!

📌 JWT의 장단점

장점

1. 세션 방식과 다르게 별도의 인증 저장소가 필요 없어서 서버와의 커뮤니케이션을 최소한으로 할 수 있다.

2. 트래픽에 대한 부담이 적다.

3. 세션과 다르게 독립적인 느낌의 JWT를 활용한다는 것.

단점

1. JWT의 크기가 커질수록 거의 모든 요청에 대해 전송되므로 데이터 트래픽 크기에 영향을 미칠 수 있다.

2. 토큰은 클라이언트에 저장되기 때문에 DB에서 사용자 정보를 수정하더라도 토큰에 직접 적용할 수 없다.

🤓API란 무엇인가!?

API는 프로그램들이 서로 상호작용하는 것을 도와주는 매개체!

✔️API의 장점!

Pirvate API를 이용할 경우,
개발자들이 애플리케이션 코드를 작성하는 방법을 표준화함으로써,
간소화되고 빠른 프로세스 처리를 가능하게 한다.
소프트 웨어를 통합하고자 할 때는 개발자들 간의 협업을 용이하게 만들어준다.

Pubilc API와 Partner API를 사용하면,
기업은 타사 데이터를 활용하여 브랜드 인지도를 높일 수 있고,
고객 데이터베이스를 확장하여 전환율까지 높일 수가 있다.

✔️API의 역할✨

1. 서버와 데이터베이스에 대한 출입구 역할을 한다.

2. 애플리케이션과 기기가 서로 원활하게 통신할 수 있도록 한다.

3. 모든 접속을 표준화 한다.

✔️API의 종류

1. private API
: 내부API로, 회사 개발자가 자체 제품과 서비스를 개선하기 위해 내부적으로 발행한다.
(제3자에게 노출 X)

2. pubilc API
: 개방형 API로, 모두에게 공개된다. 누구나 제한 없이 사용 가능하다!

3. partner API
: 기업이 데이터 공유에 동의하는 특정인들만 사용가능하다. 비즈니스 관계에서 사용되는 편이며,
종종 파트너 회사 간에 소프트웨어를 통합하기 위해 사용된다.