[WEB] JWT(JSON Web Token)

🪙 JWT(JSON Web Token)

JWT은 JSON Web Token을 줄인 말로 JSON 형태를 암호화하여 URL-safe로 표현한 인터넷 표준 인증 방식이다.

📝 JWT 등장배경?

🍪 1) Cookie

이전에는 쿠키를 사용해 사용자를 식별하고 로그인 상태를 유지하였다.

그러나 몇가지 문제점이 생겼다.

💥 클라이언트가 강제로 쿠키의 값을 조작 가능

💥 네트워크 전송 구간에서 쿠키 탈취 가능

💥 한 개의 쿠키는 최대 4KB로 제한되어 있어 데이터가 충분히 담기지 않을 수 있음

🪪 2) Cookie & Session

쿠키를 통해 인증을 하는 것에 대한 문제점을 해결하고자 나온 것이 세션이다.

이는 클라이언트가 서버에 로그인 요청을 하고 서버에서 세션 ID를 발급해 클라이언트 쿠키에 저장을 한다. 그 후 서버에 요청할 때 쿠키에 세션 ID를 같이 전달해서 서버에서 세션 ID를 검사 후 응답을 하는 방식이다.

그러나 이도 문제점이 생겼다.

💥 세션 저장소의 문제가 발생하면 인증 불가

💥 세션 저장소가 서버에 따로 존재해야 하기 때문에 추가적인 비용 발생

💥 매 요청마다 세션 저장소를 조회하는 번거로움 발생

📈 3) HTTP Stateless

Stateless: 서버가 클라이언트의 상태를 보존하지 않는다.

Stateful: 서버가 클라이언트의 상태를 보존한다.

HTTP 통신은 무상태성(Stateless)을 지향한다. 이는 서버에 트래픽이 증가해도 대처가 가능하며 서버 중 하나가 문제가 발생해도 클라이언트 측에서 정보를 관리해 다른 서버에서 처리가 가능하다.

JWT에 경우 Stateless 하지만, Session에 경우 Stateful하다.

🪄 JWT 구성

Header: 토큰의 타입이나, 암호화 알로기즘의 정보가 담겨져 있다.

{ 
  "typ": "JWT", // 토큰 타입(Type)
  "alg" : "HS256" // 토큰 암호화 알고리즘(Algorithm)
}

Payload: 토큰에서 사용할 정보 Claim이 담겨 있다.

{ 
  "iss": "http://localhost:3000", //토큰 발급자(Issuer)
  "sub" : "ACCESS", // 토큰 제목(Subject)
  "aud" : "aa", // 토큰 대상자(Audience)
  "exp" : "1234567890", // 토큰 만료시간(Expiration Time)
  "nbf" : "1234567890", // 토큰 활성 날짜(Not Before)
  "iat" : "1234567890", // 토큰 발급 시간(Issued At)
  "jtl" : "aa" // JWT 토큰 식별자(JWT id)
}

Signature: Header와 Payload의 문자열을 합치고, Header에 선언한 alg와 key를 이용해 암호한 값, 토큰의 위조 및 변조 여부를 확인하는데 사용한다.

⚙️ JWT 과정

JWT로 하는 토큰 기반 인증 방식은 아래와 같다.

🪙 Access-Token & Refresh-Token

JWT는 위 과정에서 Access-Token과 Refresh-Token 두 개를 서버로부터 받는데 이는 토큰의 만료시간을 Access-token은 짧게 Refresh-token은 비교적 길게 하여 JWT 토큰의 탈취 위험을 최소화하였다.

1) 두 개의 Access-token과 Refresh-token을 발급을 받아 평소에는 Access-token을 헤더에 담아 서버와 통신을 한다.

2) Access-token 만료되면 헤더에 Refresh-token을 담아 서버와 통신 후 새로운 Access-token을 발급받는다.

3) 만약 Refresh-token이 만료되면 클라이언트는 재로그인을 통해 새로운 두 개의 토큰을 발급받는다.