본문 바로가기
프로그래밍/IT

JWT (JSON Web Tokens) 란?

RichadS9 2024. 2. 22. 15:42
JWT (JSON Web Tokens) 란?

 

JWT 당사자 간에 정보를 JSON 개체로 안전하게 전송하기 위한 간결하고 독립적인 방벙을 정의하는 표준 RFC 7519 입니다. 정보는 디지털 서명이 되어 있으므로 신뢰할 있으며, RSA 또는 ECSDA 사용하는 공개/개인키 쌍으로 사용하여 서명할 있습니다. JWT 여러 분야에서 사용되며 특히, Authorization, Inforamtion Exchange 많이 사용 됩니다.

 

JWT (JSON Web Tokens)  의 구조

 

JWT 세가지 부분으로 나눠져있으며 (.)으로 구분합니다.

  • Header
  • Payload
  • Signature

전형적으로 아래와 같은 형식을 따릅니다.

xxxxx.yyyyy.zzzzz

HEADER.PAYLOAD.SIGNATURE

 

 

1. Header

헤더는 일반적으로 두가지 부분으로 구성되며, 알고리즘(HMAC SHA256 or RSA) 타입으로 구성됩니다.

{
	"alg" : "HS256",
	"typ" : "JWT"
}

 

Base64Url로 인코딩되어 JWT 첫번째 부분을 담당합니다.

 

 

2. Payload

payload는 claims를 포함하고 있는 부분입니다.

 

Claims은 엔티티나 추가적인 데이터데 대한 상태이며 세가지로 나눌 수 있습니다.

 

- Registered Claims

필수는 아니지만 권장되어 지는 claims 입니다.

아래와 같은 정보를 가지고 있습니다.

 

  • iss(issuser): 발급자
  • sub(subject): 토큰 제목 /토큰 사용자 식별 
  • aud(audience): 대상자
  • exp(expiration time): 토큰 만료 시간
  • nbf(not before): 토큰 활성 날짜 ( 전에 토큰이 활성화 되지 않음을 보장)
  • Jtl(jwt id): 토큰 식별자 /발급자가 여러명일때 구분

- Public Claims

JWT 사용하는 사람들이 원하는대로 정의가 가능한 부분입니다. 그러나 충돌방지를 위해 LANA JSON 토큰 레지스트리에 정의하거나 충돌 방지 네임스페이스를 포함하는 URI 정의해야 합니다.

 

- Private Claims

사용에 동의한 당사자 간에 정보를 공유하기 위해 생성된 Claims입니다.

Payload는 아래와 같은 형식으로 구성됩니다.

{
	"sub" : "1234567890",
	"name" : "John Doe",
	"admin" : true"
}

 

Base64Url 인코딩되어 JWT 두번째 부분을 담당합니다.

※ 토큰의 위변조를 보장하기는 하지만 암호화된 정보가 아니라면 비밀정보를 넣어서는 안됩니다.

 

 

3. Signature

서명 부분을 만들기위해서 인코딩된 헤더, 인코딩된 페이로드, 비밀을 헤더에 지정된 알고리즘을 가져와서 서명합니다.

예를들어 HMAC SHA256 알고리즘을 사용하려는 경우 다음과 같은 방식으로 진행합니다.

HMACSHA256( 
	base64UrlEncode(header) 
    + "." 
    + base64UrlEncode(payload)
, secret)

 

개인키로 서명된 토큰은 JWT 보낸이가 누구인지도 확인이 가능합니다.

위의 세가지를 .으로 구분된 3개의 Base64-URL 문자열로 사용합니다.

 

장점:

1. 간단하고 유연한 구조: JWT는 JSON 형식으로 데이터를 저장하고 전송하는 구조로 간단하고 유연합니다. 필요한 정보만을 포함시킬 수 있어 불필요한 데이터 전송을 피할 수 있습니다.

2. 무상태성: JWT는 서버 측에서 사용자의 세션 상태를 관리하지 않기 때문에 서버의 확장성이 좋아집니다.

3. 보안: JWT는 디지털 서명을 통해 정보의 무결성을 보호하고 사용자의 신원을 검증합니다. 또한 HTTPS와 같은 안전한 통신 채널을 사용하면 더욱 안전해집니다.

 

단점:

1. JWT의 길이: JWT는 디지털 서명을 포함하여 부가적인 정보까지 모두 포함하기 때문에 길이가 길어질 수 있습니다. 이는 네트워크 사용량을 증가시킬 수 있습니다.

2. 쿠키 사용 제한: 모든 브라우저가 JWT를 쿠키에 저장하도록 허용하지 않을 수 있습니다. 이는 일부 웹 애플리케이션에서 문제가 될 수 있습니다.

3. JWT의 한 번 발급된 토큰을 취소할 수 없다는 단점이 존재합니다. 이를 해결하기 위해서는 토큰의 만료 기간을 짧게 설정하거나 추가적인 매커니즘을 사용해야합니다.

 

RFC 7519 링크

https://datatracker.ietf.org/doc/html/rfc7519

https://www.rfc-editor.org/rfc/rfc7519

 

JWT 공식 사이트

https://jwt.io/

저작자표시

'프로그래밍 > IT' 카테고리의 다른 글

REST(Representational State Transfer) 란?  (0) 2024.03.11
Git 정리  (0) 2022.11.13
데이터베이스 요약  (0) 2021.04.19
JAVA 프로그래밍 요약  (0) 2021.04.19
가비지컬렉션  (0) 2020.04.29

'프로그래밍/IT' Related Articles

티스토리툴바