JWT

JWT(Json Web Token)이란?👀

• 인터넷 표준 인증 방식
• 로그인 정보를 DB에 따로 저장하지 않고 사용할 수 있도록 하는 수단(암호화-복호화)
• Header, Payload, Signature로 구성되어있음
  

1. Header

-토큰의 타입이나, 서명 생성에 사용된 알고리즘을 저장

2. Payload

-사용자 또는 토큰에 대한 property를 key-value의 형태로 저장

iss(Issuer): 토큰 발급자
sub(Subject): 토큰 제목 - 토큰에서 사용자에 대한 식별 값이 됨
aud(Audience): 토큰 대상자
exp(Expiration Time): 토큰 만료 시간
nbf(Not Before): 토큰 활성 날짜
iat(Issued At): 토큰 발급 시간
jti(JWT Id): JWT 토큰 식별자 (issuer가 여러 명일 때 이를 구분하기 위한 값)

표준 스펙 외에도 토큰에 대한 정보는 더 추가 가능!
주의❗❗❗) 암호화된 토큰은 디코딩될 수 있기 때문에 민감한 정보는 포함XXX

3. Signature

-Signature는 서버에 있는 개인키로만 암호화를 풀 수 있어서 임의로 Signature를 복호화 불가능
-디코딩으로 JWT의 Header,Payload정보는 볼 수 있지만 정보 변경 시 기존 Signature와 비교하기 때문에 정보 조작은 불가능

JWT의 장점👍

1. 토큰 자체가 인증된 정보라서 세션 저장소와 같은 별도의 저장소가 필수적이지 않음
2. 세션과 다르게 클라이언트의 상태를 서버에 저장하지 않음
3. Signature를 개인키 암호화를 통해 막아두어서 데이터에 대한 보안성
4. 다른 서비스에 이용가능해서 공통적인 스펙으로 사용 가능

---

공부하며 작성하고 있는 블로그입니다.
잘못된 내용이 있을 수 있으며 혹시 있다면 댓글 달아주시면 감사하겠습니다 😊