22.07.17 WIL

✅ API(Application Programming Interface)

---

📰 API : 응용프로그램 간에 소통(데이터를 주고 받기)하기 위한 방법

응용 프로그램에서 사용할 수 있도록 운영체제나 프로그래밍 언어가 제공하는 기능을 제어할 수 있게 만든 인터페이스

쉽게 말해 API는 애플리케이션에서 데이터를 읽거나 쓰기 위해 사용하는 인터페이스를 말한다.
여기서 Interface란 상호 간에 소통을 하기 위한 접점(방법)을 의미한다.
예를 들어 만약 컴퓨터 메모장에 글씨를 쓸려고 하면 키보드가 필요하다. 컴퓨터와 사람, 상호간의 소통을 위해 만들어진 접점, 즉 여기서 키보드가 인터페이스가 된다.
즉 API란 프로그램들끼리 서로 연결되고 영향을 미칠 수 있게 만드는 방법이다.

✅ JWT(Json Web Token)

---

📰 JWT : 모바일이나 웹의 사용자 인증을 위해 사용하는 암호화된 토큰

웹 상에서 정보를 Json형태로 주고 받기 위해 표준규약에 따라 생성한 암호화된 토큰

JWT 정보를 request에 담아 사용자 정보 열람, 수정 등 개인적인 작업 등을 수행할 수 있게한다.

JWT의 구성요소

JWT는 세 파트 헤더(Header), 페이로드(Payload), 서명(Signature)로 나누어져있으며, 각 파트는 .(점)으로 구분하여 표현된다.

• 헤더(header)
  어떠한 알고리즘으로 암호화할 것인지, 어떠한 토큰을 사용할 것인지에 대한 정보가 들어있다.

• 페이로드(Payload)
  전달하려는 클레임(사용자 id나 다른 데이터들)이 들어있다.
  payload에 있는 내용은 수정 가능하며 더 많은 정보를 추가할 수 있다.
  But! 노출과 수정이 가능하므로 인증이 필요한 최소한의 정보만을 담아야한다.
  (개인 정보가 아닌 이 토큰을 가졌을 때 권한의 범위나 토큰의 발급일과 말료일자 등)

• 서명(Signature)
  헤더와 정보를 합친 후 발급해준 서버가 지정한 secret key로 암호화 시켜 토큰을 변조하기 어렵게 만들어준다.
  만약 토큰이 발급된 후 누군가 Payload의 정보를 수정하면 Payload내용을 기반으로 이미 암호화 되어있는 결과가 저장되어 있기 때문에 조작되어있는 Payload와 다른 결과값이 나온다.
  이를 통해 서버는 토큰의 조작 여부를 쉽게 알 수 있게 되며 다른 사람이 조작된 토큰을 악용하기 어려워진다.

JWT 동작원리

1. 사용자 로그인을 요청한다
2. 서버는 회원DB에 들어가 있는 사용자인지 확인한다.
3. 확인이 완료되면 로그인 요청 확인 후, secret key를 통해 토큰을 발급한다.
4. 이것을 사용자에게 전달한다.
5. 서비스 요청과 권한을 확인하기 위해 헤더에 데이터(JWT)를 요청한다.
6. 데이터를 확인하고 JWT에서 사용자의 정보를 확인한다.
7. 사용자 요청에 대한 응답과 요청한 데이터를 전달해준다.

토큰 기반 인증 방식은 사용자 인증이 완료한 이후에 토큰을 발급한다.
클라이언트쪽에서 전달받은 토큰을 저장하고 서버에 요청할 때마다 해당 토큰을 서버에 함께 전달하면 서버는 토큰을 검증하고 응답하는 방식으로 작동한다.