📍 미리 알고있으면 좋은 지식

• Authorization(인가) : 사용자 개인정보와 같은 자원에 접근할 때의 권한을 획득하는 것. 이때 Access token으로 권한이 부여됨.
• Authentication(인증) : 사용자의 신원을 검증하는 행위. 보안 프로세스의 첫번째 단계에 해당 ID/PW 입력이 가장 보편적인 인증 방식임. 요즘에는 생체인식으로도 진행하고 있음.

✔ JWT란,

• JSON Web Token의 약자.

• 서버가 클라이언트에게 인증되었다는 의미로 토큰을 발급할 때 사용하는 방식.

• Base64로 인코딩 되어있고, 온라인 디버거를 통해 JSON형태로 디코딩함.

• 클라이언트는 서버에 요청을 보낼 때 마다 요청의 헤더에 토큰을 담아 함께 요청

• 토큰과 함께 온 클라이언트의 요청을 서버가 스스로 제공했던 토큰과 일치하는지 여부를 확인한 후, 정상적인 요청인지를 확인한다.

• 크게 Header. Payload. Signature 파트로 나눌 수 있음.

📜 JWT에서 자주 사용되는 JSON 키 이름

1. sub : 인증의 주제(subject)
2. iss : 토큰의 발급처
3. typ : 토큰의 유형 (type)
4. alg : 서명의 알고리즘
5. iat : 발급 시각 (issued at)
6. exp : 만료 시작(expiration time)
7. aud : 클라이언트(audience)

✔ JWT를 쓰는 이유?

쿠키와 세션을 사용할 때에는 서버 단에 로그인한 모든 사요자의 세션을 DB나 캐시에 저장한 후, 쿠키로 넘어온 세션ID로 사용자 데이터를 조회해야만 했다. 또한 쿠키를 사용하면 필히 발생하는 CORS문제도 해결해야만 했다.

그치만 JWT는 토큰 자체에 사용자의 정보가 저장되어 있기 때문에 서버 입장에서 토큰을 검증하기 하면 된다. 따라서 사용가 늘어나더라도 사용자 인증에 들어가는 인프라 비용을 절감할 수 있다.

🤔CORS : Cross Origin Resource Sharing, 한 도메인이 다른 도메인가 가진 리소스에 액세스를 할 수 있게 하는 보안 메커니즘. 이전에는 동일한 도메인에서 리소스를 받아왔다면, 지금은 클라이언트에서 다른 서버가 제공하는 API를 사용하는 일이 많아지면서 생기게 되었다고 한다.

✔ JWT의 구조

1. Header

토큰의 유형과 서명 알고리즘을 명시하는 부분

{
  "typ" : "JWT",
  "alg" : "HS256" // 해싱 알고리즘으로서, HMAC, RSA가 예시로 있다. signature부분에서 사용됨.
}

2. Payload

claim이라고도 불리는 사용자의 인증/인가 정보가 담기는 부분

{
  "sub" : "1234567890",
  "lat" : 152459873
}

3. Signature

JWT의 핵심. 토큰의 위변조 여부를 확인하는데에 사용, header/payload를 Base64URLEncode를 적용하여 개인 키로 서명한 후, header-alg에서 명시한 알고리즘을 적용함.

  HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), "YourSecretKeyValue
)

✔ 로그인 인증시 JWT 사용

JWT(JSON Web Token)는 JSON객체를 사용하고 self-contained 방식으로 두 개체에서 정보를 가볍고 안정성 있게 전달해준다. JWT의 핵심적인 특징인 self-contained는 토큰 자체에 사용자의 권한 정보나 서비스를 사용하기 위한 정보가 포함된다는 것으로 토큰에 대한 기본정보, 전달할 정보, 토큰이 검증되었다는 것을 증명해주는 signature을 포함하고 있다.

사용자가 로그인하면 서버가 해당 유저의 토큰(JWT)을 유저에게 전달하고
유저가 서버에 요청할 때 토큰을 포함해서 전달,
서버는 해당 토큰이 권한이 있는지 유효하고 인증되었는지 확인하고 작업을 진행한다.
JWT의 경우 정보가 sign 되어있기 때문에 정보를 보낸 이 가 바뀌진 않았는지, 정보가 도중에 조작되지는 않았는지 검증할 수 있다.

😊 요청 중 토큰이 탈취될 경우를 대비하여 Access Token의 유효기간을 짧게 설정하고, Refresh Token을 같이 발급하여 Access Token이 탈취당하더라도 상대적으로 피해를 최소화시킬 수 있다.