JWT(JSON Web Token)

JWT는 JSON Web Token의 약자로, 웹 애플리케이션에서 사용자 인증 및 권한 부여를 위한 토큰 기반 인증 방법 중 하나입니다. JWT는 클라이언트와 서버 간의 신뢰할 수 있는 정보 교환을 위해 사용되며, 특히 RESTful API와 같은 stateless(상태 비저장) 애플리케이션에서 널리 사용됩니다.

JWT의 구성

JWT는 세 부분으로 구성된 문자열이며, 각각의 부분은 마침표(.)로 구분됩니다. 이 세 부분은 Header, Payload, Signature입니다.

1. Header (헤더)

   • JWT의 헤더는 토큰의 유형과 해싱 알고리즘을 정의합니다.
   • 예시:

     {
       "alg": "HS256",
       "typ": "JWT"
     }

   • 이 예에서 alg는 해싱 알고리즘(예: HMAC SHA256)을 나타내고, typ는 토큰 유형이 JWT임을 나타냅니다.

2. Payload (페이로드)

   • 페이로드는 토큰의 본문으로, 클레임(claim)이라고 하는 데이터 조각들을 포함합니다. 클레임은 사용자의 식별자, 만료 시간, 권한 정보 등입니다.
   • 예시:

     {
       "sub": "1234567890",
       "name": "John Doe",
       "iat": 1516239022,
       "exp": 1516242622
     }

   • 여기서 sub은 토큰의 주체(사용자)를 나타내고, iat는 토큰이 발급된 시간, exp는 만료 시간을 나타냅니다.

3. Signature (서명)

   • 서명은 JWT의 무결성을 보장합니다. 서명은 헤더와 페이로드를 인코딩한 후, 비밀 키를 사용해 해싱한 값입니다. 서버는 이 서명을 통해 토큰이 조작되지 않았음을 확인할 수 있습니다.
   • 생성 방법:

     HMACSHA256(
       base64UrlEncode(header) + "." +
       base64UrlEncode(payload),
       secret)

JWT의 작동 방식

1. 클라이언트 인증 요청: 클라이언트가 로그인을 시도하면, 서버는 클라이언트의 자격 증명(예: 사용자 이름과 비밀번호)을 확인합니다.

2. JWT 발급: 자격 증명이 확인되면, 서버는 클라이언트에게 JWT를 발급합니다. 이 JWT는 클라이언트의 세션을 유지하는 데 사용되며, 클라이언트는 이후의 요청마다 이 토큰을 서버에 전달합니다.

3. JWT 전송: 클라이언트는 JWT를 HTTP 요청 헤더의 Authorization 필드에 포함시켜 서버에 보냅니다. 일반적으로 다음과 같은 형식으로 전달됩니다:

   Authorization: Bearer <jwt_token>

4. 서버에서 JWT 검증: 서버는 요청을 받을 때 JWT의 서명을 검증하여, 토큰이 유효한지 확인합니다. 토큰이 유효하다면, 페이로드에 담긴 정보를 사용해 요청을 처리합니다.

5. 응답 처리: 토큰이 유효하면 서버는 요청된 리소스를 제공하거나 요청을 처리합니다. 그렇지 않으면 인증 오류(예: 401 Unauthorized)를 반환합니다.

JWT의 장점

• 무상태성: 서버는 세션 상태를 유지하지 않으므로, 확장성이 높습니다. 모든 상태 정보는 클라이언트에 의해 관리됩니다.
• 유연성: JWT는 다양한 클레임을 담을 수 있으며, 특정 권한이나 사용자에 대한 정보를 포함할 수 있습니다.
• 보안성: 서명을 통해 토큰의 무결성을 보장하며, 중간에서 조작된 토큰은 서버에서 검증에 실패합니다.

JWT의 단점

• 만료 시간 관리: JWT는 만료 시간(exp)을 지정할 수 있지만, 한 번 발급된 토큰은 만료 전까지 취소할 수 없습니다. 이는 토큰이 유출된 경우, 즉시 회수하기 어렵다는 점에서 보안 위험을 초래할 수 있습니다.
• 토큰 크기: JWT는 페이로드에 많은 정보를 담을 수 있지만, 토큰 크기가 커질수록 네트워크 대역폭을 더 많이 사용하게 됩니다.
• 서명 확인 비용: 서버는 각 요청마다 토큰의 서명을 검증해야 하므로, 성능에 영향을 미칠 수 있습니다.

Django에서 JWT 사용

Django에서 JWT 인증을 구현하기 위해, 주로 djangorestframework-simplejwt와 같은 라이브러리를 사용합니다. 이 라이브러리는 JWT 기반 인증을 쉽게 설정할 수 있도록 도와줍니다.

설치

pip install djangorestframework-simplejwt

설정

# settings.py
INSTALLED_APPS = [
    ...
    'rest_framework',
    'rest_framework_simplejwt',
]

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ),
}

# JWT 설정 (필요 시 추가 설정 가능)
from datetime import timedelta

SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=5),
    'REFRESH_TOKEN_LIFETIME': timedelta(days=1),
}

URL 설정

from rest_framework_simplejwt.views import (
    TokenObtainPairView,
    TokenRefreshView,
)

urlpatterns = [
    ...
    path('api/token/', TokenObtainPairView.as_view(), name='token_obtain_pair'),
    path('api/token/refresh/', TokenRefreshView.as_view(), name='token_refresh'),
]

이제 클라이언트는 /api/token/ 엔드포인트로 로그인 요청을 보내 JWT를 받을 수 있으며, 이후 모든 요청에 이 토큰을 포함하여 인증할 수 있습니다.

요약

• JWT (JSON Web Token)는 RESTful API 인증에서 많이 사용되는 토큰 기반 인증 방식입니다.
• 클라이언트와 서버 간의 신뢰할 수 있는 정보 교환을 위해 사용되며, 서버는 클라이언트로부터 받은 JWT를 검증하여 사용자를 인증합니다.
• Django에서 JWT를 구현하기 위해 djangorestframework-simplejwt 라이브러리를 사용하여 손쉽게 설정할 수 있습니다.