본문 바로가기
CS

JWT(JSON Web Token) 토큰: 생성 방법과 사용 방법

by mr.conan 2023. 7. 16.
728x90
반응형

JWT(JSON Web Token)는 웹 애플리케이션 간 정보를 안전하게 전송하기 위한 컴팩트하고 자가수용적인 방법을 제공하는 토큰 기반의 개방형 표준입니다. 이번 블로그에서는 JWT의 생성 방법과 사용 방법, 그리고 기본적인 개념에 대해 알아보겠습니다.

JWT 개념

JWT는 세 부분으로 이루어진 문자열로 구성되며, 다음과 같은 형태를 가집니다.

header.payload.signature

  • Header(헤더): 토큰의 유형과 해시 알고리즘 정보를 담고 있습니다.
  • Payload(페이로드): 토큰에 담을 정보(클레임)들이 인코딩되어 있으며, 해당 토큰의 내용을 나타냅니다.
  • Signature(서명): 토큰의 무결성을 검증하기 위한 서명으로, 헤더와 페이로드를 함께 해싱하여 생성됩니다.

JWT 생성 방법

  1. 헤더 생성: JWT는 일반적으로 HMAC SHA256 또는 RSA와 같은 암호화 알고리즘을 사용합니다. 헤더는 이러한 알고리즘과 토큰의 유형(JWT)을 기록합니다.
  2. 페이로드 생성: 페이로드는 토큰에 담을 정보들을 인코딩하여 포함합니다. 토큰의 사용자 ID, 만료 시간 등을 포함할 수 있습니다.
  3. 서명 생성: 헤더와 페이로드를 함께 인코딩하여 서명을 생성합니다. 이 서명은 토큰의 무결성을 검증하는데 사용됩니다.
  4. 토큰 조립: 헤더, 페이로드, 서명을 조합하여 최종 JWT 토큰을 생성합니다.

JWT 사용 방법

  1. 인증: 사용자가 로그인하면 서버는 해당 사용자에게 JWT를 발급하여 클라이언트(일반적으로 브라우저)에게 전달합니다.
  2. 인증 정보 포함: 클라이언트는 서버로부터 받은 JWT를 요청 헤더에 포함시켜 API 요청을 보냅니다.
  3. 서버에서 검증: 서버는 클라이언트로부터 받은 JWT를 검증합니다. 헤더와 페이로드를 해싱하여 생성한 서명과 클라이언트가 보낸 서명을 비교합니다.
  4. 정보 활용: 서버는 JWT에서 인코딩된 정보를 디코딩하여 사용자를 인증하고, 해당 사용자에게 필요한 정보를 제공합니다.

JWT의 장점

  • 서버에 상태 정보를 저장할 필요 없이 토큰 자체가 정보를 담고 있어 무상태(Stateless)한 인증을 제공합니다.
  • 간결하고 자가수용적이기 때문에 URL 파라미터나 HTTP 헤더에 손쉽게 넣어서 전달할 수 있습니다.
  • 여러 플랫폼에서 사용 가능하고 널리 지원되는 개방형 표준입니다.

JWT의 주의사항

  • JWT 토큰은 암호화되지 않기 때문에 중요한 정보(비밀번호 등)를 포함시키면 안 됩니다.
  • JWT의 크기가 커지면 네트워크 부하가 증가할 수 있으므로 필요한 정보만 포함시켜야 합니다.
  • 만료 시간을 포함하여 보안 강화를 권장합니다.

JWT는 인증에 유용한 강력한 도구입니다. 적절한 보안을 유지하며 클라이언트와 서버 사이의 안전한 통신을 위해 JWT를 활용해보세요.

 

공용키(Public Key)

  • 공용키는 JWT의 서명 검증에 사용되는 키로, 서명을 생성한 비밀키와 쌍을 이루는 공개된 키입니다.
  • JWT의 서명 검증은 공용키로 이루어지며, 공개된 정보이기 때문에 안전하게 전달할 수 있습니다.
  • 서버는 공용키를 클라이언트에게 제공하여 클라이언트가 JWT의 서명을 검증할 수 있도록 합니다.

비밀키(Private Key)

  • 비밀키는 JWT의 서명 생성에 사용되는 키로, 서명을 검증하는데 사용되는 공용키와 쌍을 이루는 비밀 정보입니다.
  • 비밀키는 서버 측에서 보안을 유지해야 하는 중요한 정보이기 때문에 외부에 노출되어서는 안 됩니다.
  • 서버는 비밀키를 안전하게 보관하고, JWT를 생성할 때 이 비밀키를 사용하여 서명을 생성합니다.

JWT 서명 생성과 검증 방법

  1. 서명 생성: JWT를 생성할 때 서버는 비밀키를 사용하여 헤더와 페이로드를 함께 해싱하여 서명을 생성합니다. 이 서명은 JWT의 무결성을 검증하는데 사용됩니다.
  2. 서명 검증: 클라이언트는 JWT를 서버로부터 받을 때 함께 받은 공용키를 사용하여 서버가 생성한 서명과 동일하게 헤더와 페이로드를 해싱하여 서명을 검증합니다. 서명이 일치하면 JWT의 무결성이 보장됩니다.

JWT의 공용키와 비밀키 활용

  • 공용키와 비밀키를 사용하여 JWT의 서명 검증은 클라이언트 측에서 이루어집니다. 이를 통해 서버는 JWT의 무결성을 확인하고 클라이언트의 요청을 신뢰할 수 있습니다.
  • JWT를 사용하는 다양한 애플리케이션과 시스템들은 공용키와 비밀키를 공유하고, 이를 활용하여 안전한 통신을 구현할 수 있습니다.

JWT의 공용키와 비밀키를 적절히 활용하면 서버와 클라이언트 간 안전한 통신을 할 수 있으며, 인증과 보안을 확보하는데 도움이 됩니다. 공용키와 비밀키의 안전한 관리와 전송이 중요하며, 이를 보장하면 JWT를 효과적으로 활용할 수 있습니다.

728x90
반응형
저작자표시

'CS' 카테고리의 다른 글

Clean Architecture(클린 아키텍처)에 대한 개념과 구조  (0) 2023.07.20
RSA 암호화란?  (0) 2023.07.16
TCP와 UDP - 네트워크 통신에서의 두 가지 주요 프로토콜  (0) 2023.06.27
HTTP 통신 - 웹의 핵심 개념과 동작 방식  (0) 2023.06.26
UTF-8, UTF-16, EUC-KR - 한글 인코딩 방식 비교  (0) 2023.06.26

관련글

티스토리툴바