JWT 장단점
JWT를 통한 인증의 장점
-
상태를 유지하지 않고 Stateless , 확장에 용이한 Scalable 애플리케이션을 구현하기 용이함
-서버는 클라이언트에 대한 정보를 저장할 필요 없음(토큰이 정상적으로 검증되는지만 판단)
-클라이언트는 request를 전송할 때마다 토큰을 헤더에 포함시키면 됨
:여러대의 서버를 이용한 서비스라면?
하나의 토큰으로 여러 서버에서 인증이 가능하여 JWT 사용이 효과적임
if.
세션방식이라면 모든 서버가 해당 사용자의 세션 정보를 공유해야 함
-
클라이언트가 request를 전송할 때마다 자격 증명 정보를 전송할 필요가 없음
-HTTP Basic 같은 인증 방식은 request를 전송할 때마다 자격 증명 정보를 포함해야하지만
-JWT의 경우 토큰이 만료되기 전까지는 한번의 인증만 수행하면 됨 -
인증을 담당하는 시스템을 다른 플랫폼으로 분리하는 것이 용이함
-사용자의 자격 증명 정보를 직접 관리하지 않고, Github, Google 등의 다른 플랫폼의 자격 증명 정보로 인증하는 것이 가능함
-토큰 생성용 서버를 만들거나 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능함 -
권한 부여에 용이함
-토큰의 payload내용물 안에 해당 사용자의 권한 정보를 포함하는 것이 용이함
JWT를 통한 인증의 단점
1.Payload는 디코딩이 용이함
-Payload는 base64로 인코딩 되기 때문에
토큰을 탈취하여 Payload를 디코딩하면
토큰 생성 시 저장한 데이터를 확인할 수 있음
따라서 Payload에는 민감한 정보를 포함하지 않아야 함
-
토큰의 길이가 길어지면 네트워크에 부하를 줄 수 있음
-토큰에 저장하는 정보의 양이 많아질수록 토큰의 길이가 길어짐
따라서 request 전송할 때마다 길이가 긴 토큰을 함께 전송하면 네트워크에 부하 줄 수 있음 -
토큰은 자동으로 삭제되지 않음
-즉 한번 생성된 토큰은 자동으로 삭제되지 않음
따라서 토큰 만료 시간을 반드시 추가해야 함
-토큰이 탈취된 경우 토큰의 기한이 만료될 때까지 토큰 탈취자가 해당 토큰을 정상적으로 이용할 수 있으므로
만료 시간을 너무 길게 설정하지 않아야 함
핵심
-JWT는 많은 네트워크 트래픽을 사용하지 않도록 payload에 많은 정보를 포함하지 않는 것이 바람직함
-payload는 base64로 인코딩 되기 때문에
토큰을 탈취하여 payload를 디코딩하면
토큰 생성 시 저장한 데이터를 손쉽게 확인할 수 있음
따라서 payload에 민감한 정보를 포함하지 않아야 함
-토큰은 자동으로 삭제되지 않으므로 반드시 토큰 만료 시간을 지정해야함
-토큰이 탈취될 경우를 대비해 토큰 만료 시간을 너무 길게 설정하지 않는 것이 바람직함
