- 인증 ( authentication )
권한이 있는 회원임을 인증
- 인가( authorization )
인증 이후 해당 계정으로만 할 수 있는 행동 허가
로그인이 유지된 상태에서 할 수 있는 일들
- JWT ( JSON Web Token )
stateless ( 시간과 상관 없음 )
사용자 로그인 필요 없음
구글은 따로 생성해야하고, 별도의 계정처럼 취급한다
- Token
인코딩, 또는 암호화된 데이터 3가지를 이어 붙인 것
header.payload.verify-signature
- header
- type, alg
- type ( 고정값 )
type이 JWT여야 전체 데이터가 JWT가 될 수 있다
- alg ( algorithm )
여러 암호화 방식 중 하나 지정 가능
header, payload, server-secret-key을 해당 알고리즘에 넣으면 verify-signature가 생성됨
server-secret-key가 있는 server만 토큰을 생성, 해석 할 수 있다
- payload
- 인코딩된 JSON 데이터들
- Claim이 담겨있다
- 발급처, 발급대상, 유효기간, 공개될 내용 등이 담긴 데이터
- verify-signature
- server-secret-key를 포함해 암호화된 데이터
https://youtu.be/1QiOXWEbqYQ