JWT
서버와 클라이언트의 통신과정
1. 로그인요청
2.1 요청 아이디와 비밀번호를 확인하여 검증
2.2 유효한 사용자이면 토큰을 생성해서 응답
3.1 클라이언트는 서버로부터 받은 토큰 저장
3.2 필요시 요청에 토큰을 함께 보낸다
4. 서버는 토큰 유효검사
토크기반 인증의 특징
무상태성
- 토큰(인증정보)를 클라이언트에서 저장한다. 서버 입장에서는 무상태stateless로 검증할 수 있다
확장성 - 하나의 토큰으로 각기 다른 서버에 요청 및 인증할 수 있다
무결성 - 토큰은 발급한 이후 정보를 변경할 수 없다
JWT
- HTTP 요청 헤더 중에 Authorization 키 값에
Bearer + JWT 토큰값을 넣어 보낸다
JWT의 구조
- JWT는
.을 기준으로 헤더header, 내용payload, 서명signature으로 이루어져있다
aaaaa . bbbbbb . cccccc
헤더 - 헤더에는 토큰의 타입과 해싱 알고리즘을 지정하는 정보를 담는다
{
"typ": "JWT",
"alg": "HS256"
}
backend