[Web] JWT(JSON Web Token)란?

JWT

JWT(JSON Web Token)는 데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식으로, JSON 포맷을 이용하여 사용자에 대한 속성을 저장하는 웹 토큰(Web Token)이다.

 

JWT는 권한 부여에 매우 유용하다.

예를 들어, 새로 사용할 애플리케이션에서 Gmail과 연동되어 이메일을 읽어와야 한다면 사용자는 다음과 같이 권한을 부여받을 수 있다.

1. Gmail 인증 서버에 로그인 정보(아이디, 비밀번호)를 제공한다.
2. 인증에 성공할 경우, JWT를 발급받는다.
3. 새로 사용할 애플리케이션은 JWT를 사용해 해당 사용자의 이메일을 읽거나 사용할 수 있다.

 

 

JWT의 종류

1. 액세스 토큰(Access Token)
2. 리프레시 토큰(Refresh Token)

사용자(클라이언트)가 처음 인증을 받게 될 때(로그인), 액세스 토큰과 리프레시 토큰 두 가지 모두 받게 된다.

 

액세스 토큰(Access Token)

액세스 토큰은 보호된 정보(이메일, 연락처, 사진 등)들에 접근할 수 있는 권한 부여에 사용한다.

액세스 토큰은 다른 사람이 탈취하여 사용하면 문제가 발생할 수 있어, 비교적 짧은 유효 기간을 가지도록 하여 탈취되더라도 오랫동안 사용할 수 없도록 해야 한다.

 

리프레시 토큰(Refresh Token)

액세스 토큰의 유효기간이 만료되면, 리프레시 토큰을 사용하여 새로운 액세스 토큰을 발급받는다.

이때 사용자는 다시 로그인 인증을 할 필요가 없다.

 

유효기간이 긴 리프레시 토큰은 다른 사람에게 탈취되면 더 큰 문제가 발생할 수 있다.

다른 사람이 리프레시 토큰을 이용하여 액세스 토큰을 발급받을 수 있게 되고, 사용자는 피해를 입을 수 있다.

따라서, 웹 애플리케이션은 리프레시 토큰을 사용하지 않는 곳이 많다.

 

 

JWT 구조

JWT에는 Header, Payload, Signature를 .으로 구분한 형태로 이루어져 있다.

Header

토큰이 어떤 종류의 토큰인지(JWT), 어떤 알고리즘으로 Sign 할지 정의한다. JWT는 JSON 포맷 형태로 정의한다.

{
  "alg": "HS256",
  "typ": "JWT"
}

이러한 형태의 JSON 객체를 base64 방식으로 인코딩하여 JWT 구조의 첫 번째 부분이 완성된다.

 

Payload

서버에서 활용할 수 있는 사용자의 정보를 포함하고 있다.

어떤 정보에 접근 가능한지에 대한 권한을 담을 수도 있고, 사용자의 이름 등 필요한 데이터를 담을 수 있다.

Payload는 Signature를 통해 유효성이 검증될 정보이지만, 민감한 정보는 담지 않는 것이 좋다.

{
  "sub": "someInformation",
  "name": "phillip",
  "iat": 151623391
}

이러한 형태의 JSON 객체를 base64 방식으로 인코딩하여 JWT 구조의 두 번째 부분이 완성된다.

 

Signature

Header와 Payload 부분이 base64로 인코딩 되어 완성되면, Signature에서는 원하는 비밀 키(Secret Key)와 Header에서 지정한 알고리즘을 사용하여 Header와 Payload에 대하여 단방향 암호화를 수행한다.

 

암호화된 메시지는 토큰의 위변조 유무를 검증하는 데 사용된다.

 

예를 들어, HMAC SHA256 알고리즘을 사용한다면, Signature는 다음과 같은 방식으로 생성된다.

HMACSHA256(base64UrlEncode(header) + '.' + base64UrlEncode(payload), secret);

 

 

토큰기반 인증 절차

• 클라이언트가 서버에 아이디와 비밀번호를 담아 로그인 요청을 보낸다.

 

• 서버에서는 아이디와 비밀번호가 일치하는지 확인하고 클라이언트에게 보낼 암호화된 토큰을 생성한다.
  • 액세스 토큰과 리프레시 토큰 모두 생성한다.
    • 토큰에 담길 정보(Payload)는 사용자를 식별할 정보와 사용자 권한 정보 등이 될 수 있다.
    • 두 종류의 토큰이 같은 정보를 담을 필요는 없다.

 

• 토큰을 클라이언트에게 전송하면 클라이언트는 토큰을 저장한다.
  • 로컬 저장소, 세션 저장소, 쿠키 등

 

• 클라이언트가 HTTP Header 또는 쿠키에 토큰을 담아 요청(request)을 전송한다.
  • Bearer authentication을 이용한다.

 

• 서버는 토큰을 검증하여 발급한 토큰과 일치할 경우 클라이언트의 요청에 대한 응답(response)을 보낸다.

 

 

JWT를 이용한 인증의 장단점

장점

• 상태를 유지하지 않고(Statless), 확장에 용이한(Scalable) 애플리케이션을 구현할 수 있다.
  • 서버는 클라이언트에 대한 정보를 저장할 필요가 없다.
  • 토큰이 정상적으로 검증되는지만 판단한다.
  • 클라이언트는 요청을 전송할 때마다 토큰을 헤더에 포함시킨다.

 

• 클라이언트가 요청(request)을 전송할 때마다 자격 증명 정보를 전송할 필요가 없다.
  • HTTP Basic 같은 인증 방식은 request를 전송할 때마다 자격 증명 정보를 포함해야 한다.
  • 하지만, JWT는 토큰이 만료되기 전까지는 한 번의 인증만 수행하면 된다.

 

• 인증을 담담하는 시스템을 다른 플랫폼으로 분리하는 것이 용이하다.
  • 사용자의 자격 증명 정보를 직접 관리하지 않고, Github, Google 등의 다른 플랫폼의 자격 증명 정보로 인증하는 것이 가능하다.
  • 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능하다.

 

• 권한 부여에 용이하다
  • 토큰의 Payload(내용물) 안에 해당하는 사용자의 권한 정보를 포함하는 것이 용이하다.

 

 

단점

• Payload는 디코딩이 용이하다
  • Payload는 base64로 인코딩 되기 때문에 토큰을 탈취하여 디코딩하면 토큰 생성 시 저장한 데이터를 확인할 수 있다.
  • Payload에는 민감한 정보를 포함하지 않아야 한다.

 

• 토큰의 길이가 길어지면 네트워크에 부하를 줄 수 있다.
  • 토큰이 저장하는 정보의 양이 많아질수록 토큰의 길이는 길어진다.
  • 따라서 요청(request)이 발생할 때마다 길이가 긴 토큰을 함께 전송하면 네트워크에 부하를 줄 수 있다.

 

• 토큰은 자동으로 삭제되지 않는다.
  • 한 번 생성된 토큰은 자동으로 삭제되지 않기 때문에 토큰 만료 시간을 반드시 추가해야 한다.
  • 토큰이 탈취된 경우 토큰의 기한이 만료될 때까지 탈취자가 해당 토큰을 정상적으로 이용할 수 있으므로 만료 시간을 길게 설정하지 않아야 한다.