Token ( JWT Token )

토큰 ( token )
。Client-side에서 인증정보를 보관하는 방법.
▶ 서버가 아닌, 인증정보를 client-side에 암호화하여 저장.

。서버에서 토큰의 발급만 수행하고 저장 & 관리하지 않아서 부하가 적다.
▶ 세션방식에 반해 분산환경에서 유리

。Session기반 인증방식은 클라이언트에서 서버에 특정 User에 대한 정보를 요청할때마다 일일이 세션ID의 일치여부를 확인.
▶ 매 요청마다 Server의 DB를 확인하는것이 부담이되므로 Token 기반 인증방식이 등장.

。HTTP Servcer는 stateless 특징으로 상대를 알 수 없다.
▶ 사용자는 매번 요청 시 Authorization Header에 토큰을 포함하고, 서버는 전달된 토큰이 해당 서버에서 발급했는지 판단하기 위해 검증을 수행

JSON 토큰 ( JWT : Json Web Token ) :
。웹에서 Authentication과 정보교환 등을 수행하기위해 사용하는 Token 기반 인증 방식

。클라이언트가 로그인 후 서버가 클라이언트에게 발급하여 제공
▶ 이후 클라이언트에서 전송하는 HTTP Request마다 Authorization Header에 JWT를 포함하여 인증을 수행.

。클라이언트가 Token을 보관하면서 Stateless 특징을 지니므로, Session이 필요없다.
▶ 또한 Session처럼 DB 조회없이 Token만으로 Authenticate가 가능.

。JWT의 payload에 사용자 정보를 보관 가능.

。JWT Token은 Request Authorization Header에 Bearer {token} 형식으로 저장


JWT 토큰 종류

• Access Token
  。짧은 유효기간 5분
  
  。Access Token의 만료시간이 짧은 경우 유출되더라도 피해를 최소화하여 보안성이 좋지만, 자주 로그인해야하는 불편함이 존재
  ▶ Access Token의 유효기간을 짧게 구축하되 만료 시 Refresh Token를 기반으로 새로운 Access Token을 발급하는 방식으로 구현
  ▶ 사용자는 Access Token이 만료되더라도 다시 로그인할 필요가 없다.
  
  
• Refresh Token
  。Access Token보다 긴 유효기간 ( 12시간 )
  ▶ 만료 시 로그인을 다시해야함
  
  。서버에서 사용되어 Access Token이 만료된 경우 재발급하는 역할
  ▶ 클라이언트( = 프론트엔드 )에서 직접 다룰 일이 없으므로 보통 HttpOnly 쿠키에 저장

JWT Token 구조

。header.payload.signature로 연결되어 구분


。각 부분은 Base64로 인코딩
▶ https://www.jwt.io/에서 해석가능

Header
。typ( Token Type )과 alg( Signature Algorithm )로 구성
▶ Base64로 인코딩되어 포함

{
  "typ": "JWT", // 토큰 타입
  "alg": "HS256" // 서명 알고리즘 (HMAC-SHA256)
}

Payload
。JWT의 Claim을 포함하는 부분
▶ Base64로 인코딩되어 포함

{
  "iss": "example.com",
  "sub": "user123",
  "aud": "myapp",
  "exp": 1716239022,
  "iat": 1716235422,
  "role": "admin" // private claim
}

。iss : ( issuer ) : 발급자
。sub : ( subject ): 사용자 ID
。aud : ( audiance ) : 대상자
。 exp : ( expiration ) : 토큰만료시간
。 iat ( Issued at ) : 토큰발급시간

서명 : Signature
。토큰을 유효성 검증 시 사용하는 고유한 서명
▶ JWT에 Header.Payload를 서명 후 Base64로 인코딩하여 포함

。서명에 사용되는 Private Key는 보안을 위해 특정길이 이상을 사용하도록 강제
▶ 비대칭키 ( RS256 , ES256 ) 등은 최소 2048bit의 사용을 권장하므로 KeyPairGenerator에서 key 크기를 2048 bit으로 생성하도록 설정.


Signature 생성과정
1. Header , Payload를 각각 Base64로 인코딩

2. 인코딩된 두 문자열을 .으로 결합
▶ 인코딩된Header.인코딩된Payload

3. 지정된 알고리즘과 Key로 서명을 수행하여 서명 Byte값을 생성
ex ) RS256 : SHA256으로 private key를 활용하여 서명

4. 서명 후 생성된 byte값을 base64로 인코딩하여 Signature 생성
▶ JWT = Header.Payload.Signature의 Signature이 된다.

• Signature 검증과정
  1. 클라이언트로 부터 수신한 JWT에서 Header, Payload , Signature 분리
  。해당 Header, Payload, Signature은 각각 Base64Url로 인코딩된 상태
  
  2. Header를 디코딩 후 얻은 JSON에서 서명 알고리즘 ( alg )에서 허용된 알고리즘인지 검증
  
  3. Signature을 디코딩 후 얻은 서명 Byte값을 서버의 발급자의 Public Key로 검증
  
  4. 검증 후 payload의 신뢰여부를 결정
  。실패 시 토큰을 거부