JWT

JWT

---

서버 개발을 하면서 로그인을 유지하는 방법으로 2가지를 많이 사용하게된다.

1. Cookie
   • 쿠키는 클라이언트 로컬 상의 쿠키를 저장하여 로그인을 유지하는 방식이다.
   • 단점으로 로컬상에 존재하기에 보안적으로 문제가 발생할 수 있다.
2. Session
   • 세션은 쿠키의 방식을 이용하며 쿠키를 보내 서버에서 세션을 생성하여 쿠키에 담아 다시 보내주는 방식이다.
   • 리스폰시 넘어온 쿠키에 세션을 담아 세션을 유지하는 방식이다.

하지만 이 2가지의 방법은 보안에 취약하며 여러개의 서버를 확장하여 사용하기에는 까다로운 단점을 가지고 있다.

최근에는 이런한 방식을 보완한 JWT(JSON Web Token)의 방식을 많이 사용하고 있다.

JWT란

---

• 토큰은 만료시간을 주어야한다.
• cors 문제에 대해서 자유롭다.
• OAuth (카카오 , 네이버 , 페이스북 등 api)
• JWT의 단점은 세션과 다르게 사용자의 정보를 통제할 수가 없다.(이미 준 토큰을 뺏을 수 없다)
  • 토큰을 2개를 발급한다. (access 토큰과 refresh 토큰)
    Access 토큰의 유효시간을 짧게 두어 탈취시 사용에 제한을 둔다.
    Refresh 토큰을 db에 저장하여 access 토큰이 만료시 refresh 토큰을 비교하여 access 토큰을 발급해준다.

구조

---

header

• 디코딩시 2가지의 정보를 담고있다 type=”JWT” 와 alg

• alg는 verify signature의 서명값을 만드는데 사용될 알고리즘을 저장

  HS256
  HMAC -> 시크릿키를 포함한 암호화 방식
  SHA256 -> 해쉬

payload

• base64 로 디코딩 시 json 형식의 정보를 출력
• Clamis 는 payload에 담긴 정보 사용자 정보등 데이커를 Claim이라 한다.

verify signature

• 헤더와 , 페이로드 , 서버에 감춰놓은 비밀 값 을 암호화 알고리즘에 넣고 돌리면 서명값을 리턴한다.

• HS256 암호화

  HEADER + Payload + secret