JWT(JSON Web Token)

JWT(JSON Web Token)는 데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식으로써 토큰 인증 방식에서 가장 범용적으로 사용되며 JSON 포맷의 토큰 정보를 인코딩 후, 인코딩 된 토큰 정보를 Secret Key로 서명(Sign)한 메시지를 Web Token으로써 인증 과정에 사용합니다.

  • 액세스 토큰(Access Token)
  • 리프레시 토큰(Refresh Token)

클라이언트 로그인 및 토큰 인증 과정

  1. 클라이언트 로그인 요청
    • 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보냅니다.
    • 서버는 아이디/비밀번호를 확인하고, 암호화된 Access Token과 Refresh Token을 생성합니다.
  2. 토큰 생성
    • 생성된 토큰에는 사용자를 식별할 정보와 권한 정보 등이 담길 수 있습니다.
    • Access Token과 Refresh Token을 모두 생성합니다.
    • 두 종류의 토큰은 같은 정보를 담을 필요는 없습니다.
  3. 토큰 전송 및 저장
    • 생성된 토큰을 클라이언트에게 전송합니다.
    • 클라이언트는 토큰을 저장합니다. (Local Storage, Session Storage, Cookie 등)
  4. 토큰을 이용한 요청
    • 클라이언트가 HTTP Header(Authorization Header) 또는 쿠키에 토큰을 담아 request를 전송합니다.
    • Bearer authentication을 이용하여 토큰을 전송합니다.
  5. 서버의 토큰 검증 및 요청 처리
    • 서버는 클라이언트로부터 받은 토큰을 검증하여 유효성을 확인합니다.
    • 토큰이 유효하면 클라이언트의 요청을 처리하고, 응답을 보내줍니다.



JWT 인증 장, 단점

JWT를 통한 인증의 장점

  • 상태를 유지하지 않고(Stateless), 확장에 용이한(Scalable) 애플리케이션 구현이 용이합니다.
    • 서버는 클라이언트에 대한 정보를 저장할 필요 없이 토큰의 유효성만을 검증합니다.
    • 클라이언트는 request를 전송할 때마다 토큰을 헤더에 포함시키면 됩니다.
  • 여러 대의 서버를 이용한 서비스에서도 하나의 토큰으로 인증이 가능합니다.
    • 세션 방식과 달리 서버들 간에 세션 정보를 공유할 필요가 없습니다.
  • 클라이언트가 request를 전송할 때마다 자격 증명 정보를 전송할 필요가 없습니다.
    • 토큰이 만료되기 전까지 한 번의 인증만 수행하면 됩니다.
  • 인증 시스템을 다른 플랫폼으로 분리하여 사용하는 것이 용이합니다.
    • Github, Google 등의 다른 플랫폼의 자격 증명 정보로도 인증이 가능합니다.
  • 권한 부여에 용이합니다.
    • 토큰의 Payload 안에 해당 사용자의 권한 정보를 포함할 수 있습니다.

JWT를 통한 인증의 단점

  • Payload는 디코딩이 용이합니다.
    • Payload는 base64로 인코딩되어 있어 탈취된 토큰의 Payload를 디코딩하여 정보를 확인할 수 있습니다.
  • 토큰의 길이가 길어지면 네트워크에 부하를 줄 수 있습니다.
    • 토큰에 저장하는 정보의 양이 많아질수록 토큰의 길이는 길어지며, 네트워크에 부하를 줄 수 있습니다.
  • 토큰은 자동으로 삭제되지 않습니다.
    • 한 번 생성된 토큰은 자동으로 삭제되지 않으므로 토큰 만료 시간을 추가해야 합니다.
    • 만료 시간을 너무 길게 설정하면 토큰이 탈취된 경우에도 해당 토큰을 이용할 수 있으므로 주의해야 합니다.