[상태유지] 🎯 JWT가 뭔가요?

📋 기술 면접 홈 바로가기

⬛ 개념

💡 JWT (Json Web Token)

구성	설명
어떻게?	토큰 자체에 정보를 담고 암호화된 서명을 추가한
형태는?	JSON 포맷의
🎯	Claim 베이스 토큰입니다.

✅️ 특징

1. ✅ HTTP Authorization 헤더에 실어 보냅니다.
2. ✅️ .을 구분자로 헤더, 페이로드, 시그너쳐 3부분으로 구분됩니다.
3. ✅️ 헤더와 페이로드는 base64로 인코딩됩니다
4. ✅️ Self-contained : 토큰 자체에 정보를 담아 보냅니다.

⬛ 장점

1. ⬛ 헤더, 페이로드 조작 시 시그너쳐 검증을 통과하지 못하기 때문에 위변조된 요청을 걸러낼 수 있습니다.
2. ⬛ 인증 정보에 대한 별도의 저장소가 필요없습니다. (Access 토큰 한정)
3. ✅️ 세션과 달리 서버가 Stateless해 스케일아웃이 용이합니다.
4. ✅️ 모바일 등 여러 클라이언트에 대응하기 용이합니다.
5. ✅️ 사용자 정보가 필요할 때 DB 조회를 건너뛸 수 있습니다.

✅️ 단점

1. ✅️ 페이로드는 제3자가 쉽게 복호화할 수 있어 보안이 필요한 정보를 담을 수 없습니다.
2. ✅️ 토큰을 탈취당하면 대처하기 어렵습니다.
3. ✅️ 페이로드에 담은 인증 정보가 늘어날수록 토큰 크기가 커져 네트워크 부하가 커집니다.

⬛ 구조

✅	명칭	설명
	Header	알고리즘 형식 (alg), 토큰 유형 (typ) 정보 포함
✅	Payload	실제 사용할 정보 조각인 Claim 포함 사용자 정보 저장
	Signature	헤더와 페이로드의 인코딩 값 + Secret Key를 합친 뒤 암호화 알고리즘으로 생성해낸 해쉬 값

⬛ Claim

💡 Claim

JWT에서 사용하는 key-value 형식을한 한 쌍의 정보를 말합니다.

⬛ Registered Claims
미리 정의된 클레임

✅	종류	Eng	Kor
	iss	issuer	발급자
	sub	subject	제목
	aud	audience	발급 대상
	exp	expireation time	만료 시간, NumericDate 형식
	iat	issued At	발급일시
	jti	JWI ID	JWT 토큰 식별자, 중복 방지용 Claim
	nbf	not before	활성일시, nbf 이후 토큰이 활성화됩니다.

⬛ Public Claims

사용자가 정의할 수 있는 클레임

⬛ 공개용 정보를 전달하기 위해 사용합니다.

⬛ Private Claims
당사자들 간에 정보를 공유하기 위해 만들어진 사용자 지정 클레임

• ⬛ 외부에 공개돼도 상관없지만 해당 유저를 특정할 수 있는 정보들을 담습니다.