Friday_July_17
.
.
.

JWT을 사용하는 이유

전 글에서 비밀번호를 암화하는 과정을 알아보았다.
이제 인증에서 쓰이는 JWT(Json Web Token)을 알아보겠다.

일단, jwt가 인증에 쓰인다 했는데, 인증을 왜 할까?

예를 들어, 블로그에서 글을 쓰려면 사용자가 로그인을 해야하고,
로그인을 한 사용자만이 글을 쓸 수 있다.

그런데 글을 쓸 때마다 매번 로그인을 해줘야 할까?
그렇게 되면 너무 번거롭다.
그래서 로그인을 하면 token이라는 고유의 값이 주어진다.

그 토큰을 갖고있다면, 내가 '나'라는 것이 인증이 된 것이고,
인증이 되었으니 언제든지 글을 쓸 수 있는 것이다.

JWT 사용법 & 구현

일단 Bcrypt와 비슷하다.

pip install pyjwt

로 설치를 해주면 되고,

import jwt

이렇게사용시에는 jwt만 import를 해주면 된다.

SECRET = 'wecode'

access_token = jwt.encode({'id':1}, SECRET, algorithm='HS256')
print(access_token)

결과

b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MX0.LauSzdGeF1YjDLlrS7DMuJaODnbwNlVZa_GIEq7h4BU'

secret한 키로 토큰을 만들기 때문에, 위의 예제에서는 보여주기위해 wecode라는 값을 넣어서 적용했지만,
원래는 절대 보여주어서는 안된다.

보여주지 않는 파일에 숨겨놓고, import를 해서 사용해야 한다.

자 그럼 token을 받았습니다.

그럼 이 token으로 내가 사용자(id) 1이라는 것을 어떻게 알 수 있을까요?

header = jwt.decode(access_token, SECRET, algorithm = 'HS256')
print(header)

결과

{'id': 1}

이렇게 토큰과 우리가 사용했던 secret 키로 사용자의 정보를 가져올 수 있다.

사용자는 항상 token을 갖고있으니, 우리가 만약 사용자의 인증이 필요하다면 사용자의 token으로
확인하면 된다.