본문 바로가기
개발적인

요즘 많이 사용하는 JWT는 뭘까?

by klm hyeon woo 2023. 1. 5.

서론 

요즘 웹 개발을 하면서 JWT 라는 기술이 되게 많이 사용된다. 로그인 기능을 구현하면서, 자연스레 프론트 개발을 접하며 백엔드와의 소통시 JWT에 대한 개념이 자주 나오곤하는데, 오늘 포스팅에서는 JWT에 대해서 다뤄볼 예정이다.

 

JWT(JSON Web Token)가 뭘까?

JWT는 JSON Web Token의 약자로, 인증에 필요한 정보들을 암호화시킨 Json 형태의 토큰이다.

웹에서 서버에서 클라이언트의 인증 방식으로 토큰 방식 외에 세션과 쿠키 인증 방식이 있지만, 세션과 쿠키 방식을 지원하지 않는 앱 같은 경우에는 이러한 토큰 방식은 필연적이라고 말할 수 있다.

 

JWT를 통한 인증 방식은 JWT 토큰(Access Token)을 HTTP 헤더에 실어 서버가 클라이언트를 식별하는 방식이다.

JWT는 JSON 데이터를 Base64 URL-sage Encode를 통해 인코딩하여 직렬화한 것이며, 토큰 내부에는 위변조 방지를 위해 개인키를 통한 전자서명이 있다.

 

소소한 팁이지만, URL-safe Encode는 일반 Encode와 아래의 차이점을 가지고 있다고 한다.

Base64 URL-safe Encode 는 일반적인 Base64 Encode 에서 URL 에서 오류없이 사용하도록 '+', '/' 를 각각 '-', '_' 로 표현한 것이다.

JWT(JSON Web Token)는 어떤 구조를 이루고 있을까?

JWT는 .을 기준으로 좌측부터 Header, Payload, Signature의 세 가지 문자열의 조합이다.

차근차근 좌측의 Header부터 Signature까지 어떤 내용들이 들어가는지 파악을 해보자

 

Header

- JWT에서 사용할 타입

- JWT에서 사용할 알고리즘의 종류

PayLoad

토큰에서 사용할 정보의 조각들인 * Claim이 담겨있다. (실제 JWT를 통해서 알 수 있는 데이터)

서버와 클라이언트가 주고받는 시스템에서 실제로 사용될 정보에 대한 내용을 담고있는 섹션

* Claim : Key- Value 형식으로 이루어진 한 쌍의 정보

Signature

Signature에서 사용하는 알고리즘은 Header에서 정의한 알고리즘 방식을 활용

Signature 구조는 (Header + Payload)와 서버가 갖고있는 유일한 Key 값을 합친 것을 Header에서 정의한 알고리즘으로 암호화

Signature은 토큰의 위변조 여부를 확인하는데 사용이 된다. (아래 토큰 인증 신뢰성에서의 예시 참조)

 

- * 전자서명

* 전자서명?

Header, Payload를 Base64 URL-safe Encode를 한 이후 Header에 명시된 해시함수를 적용하고,

개인키(Private Key)로 서명한 전자서명이 담겨있는데, 전자서명에는 비대칭 암호화 알고리즘을 사용하므로 암호화를 위한 키와 복호화를 위한 키가 다르다. 암호화(전자서명)에는 개인키를, 복호화(검증)에는 공개키를 사용한다.

JWT(JSON Web Token)의 인증과정

더보기
  1. 사용자가 ID, PW를 입력하여 서버에 로그인 인증을 한다
  2. 서버에서 클라이언트로부터 인증 요청을 받으면, Header, PayLoad, Signature를 정의한다.
    Header, PayLoad, Signature을 각각 Base64로 한 번 더 암호화하여 JWT를 생성하고 이를 쿠키에 담아 클라이언트에게 발급한다.
  3.  클라이언트는 서버로부터 받은 JWT를 브라우저의 로컬 스토리에 저장한다 (쿠키 및 다른 곳이 될 수도 있음 프로젝트마다 상이) 클라이언트는 API를 서버에 요청할 때 Authorization Header에 Access Token을 담아서 보낸다.
  4. 서버에서 클라이언트가 Header에 담아서 보낸 JWT가 자신의 서버에서 발행한 토큰인지 일치 여부를 확인하여 일치한다면 인증을 해주고, 아니라면 인증을 통과시켜주지 않으면 된다. 만약 인증이 통과되었다면 PayLoad에 들어있는 유저의 정보들을 Select하여 클라이언트에 돌려준다.
  5. 클라이언트가 서버에 요청을 하였는데, 만일 액세스 토큰의 시간이 만료되면 클라이언트는 RT(Refresh Token)을 이용하여 서버로부터 새로운 AT(Access Token)을 발급받는다.

JWT(JSON Web Token)의 토큰 인증 신뢰성

유저 JWT : Header + Payload + Signature

(정보를 임의의 유저가 Payload를 수정했다고 하면 Payload` 로 표시)

더보기
  1. 임의의 유저가 Payload를 임의의 수정 ➠ 유저 JWT : Header + Payload`+ Signature
  2. 수정한 토큰을 서버에 요청을 보내면 서버는 유효성 검사를 수행
    - 유저 JWT : Header + Payload`+ Signature
    - 서버에서 검증 후 생성한 JWT : Header + Payload`+ Signature`
    ➠ Signature의 불일치 발생
  3. 대조 결과가 일치하지 않아 유저의 정보가 임의로 조작되었음을 알 수 있다.

서버는 토큰 안에 들어있는 정보가 무엇인지 아는게 중요한 것이 아니라, 해당 토큰이 유효한 토큰인지 확인하는 것이 중요하기 때문에 클라이언트로부터 받은 JWT의 Header, Payload를 서버의 Key 값을 이용해 Signature을 다시 만들고 이를 비교하며 일치했을 경우 인증을 통과시킨다.

 

JWT(JSON Web Token)을 왜 사용할까?

- 클라이언트 인증 정보를 저장하는 세션 인증 방식과는 다르게, 서버는 무상태(StateLess)가 되어 서버 확장성이 우수

- 토큰에 대한 기본 정보와 전달할 정보 및 토큰이 검증됬음을 증명하는 서명 등 필요한 모든 정보를 자체적으로 지님

- 인증 정보에 대한 별도의 저장소가 필요없다.

- Header와 PayLoad를 가지고 Signature을 생성하므로 데이터 위변조를 막을 수 있다.

- OAuth의 경우 FaceBook, Google 등 소셜 계정을 이용하여 다른 웹서비스에서도 로그인을 할 수 있다.

- 앱, 모바일 환경의 경우 세션 및 쿠키 방식이 사용 불가하기때문에 모바일 환경에서도 잘 동작한다.

JWT(JSON Web Token)의 단점

- 토큰 자체에 정보를 담고 있으므로 양날의 검이 될 수도 있다.

- 토큰의 Payload에 3종류의 클레임을 저장하기 때문에 정보가 많아질수록 토큰의 길이가 늘어나 네트워크에 부하를 줄 수 있다.

- Payload 자체는 암호화된 것이 아니라 Base64로 인코딩 된 것이기 때문에, 중간에 PayLoad를 탈취하여 디코딩하면 데이터를 볼 수 있으므로, PayLoad에 중요 데이터를 넣지 않아야한다.

- Stateless 특징을 가지기 때문에, 토큰은 클라이언트 측에서 관리하고 저장한다. 때문에 토큰 자체를 탈취당하면 대처하기가 어렵게 된다.

토큰 탈취에 관련된 안정성을 높이기위해서는 어떻게?

JWT 인증 방식을 만약 Access Token 만을 이용하면, Access Token은 발급된 이후 서버에 저장되지 않고 클라이언트에 저장되어 토큰 자체로 검증을 하며 사용자 권한 인증을 진행하기 때문에 Acess Token이 탈취되면토큰이 만료되기 전까지 토큰을 획득한 사람은 누구나 권한 접근이 가능해지는 문제점을 내포하고 있다. 그래서 토큰의 유효시간을 부여하여 탈취 문제에 대해 대응을 하기도 하지만 만일 유효 기간이 짧을 경우 그만큼 사용자는 로그인을 자주해야하는 번거로움이 있다. 이러한 문제를 해결하기 위해 Refresh Token이라는 추가적인 토큰을 활용하여 토큰을 이중 장막으로 보안을 강화하는 식으로 이중 보안 시킨다.

 

현업에서는 Access Token을 그대로 사용하는 것이 아닌, Acess Token, Refresh Token 이중으로 나누어 인증을 하는 방식을 현업에서 취한다. Access Token과 Refresh Token은 둘 다 똑같은 JWT이며, 다만 차이점은 어디에 저장되고 관리되느냐에 따른 사용차이이다.

 

Access Token 

클라이언트가 가지고 있는 실제로 유저의 정보가 담긴 토큰으로, 클라이언트에서 요청이 오면 서버에서 해당 토큰에 있는 정보를 활용하여 사용자 정보에 맞게 응답을 진행한다.

Refresh Token

새로운 Access Token을 발급해주기 위해 사용하는 토큰으로 짧은 수명을 가지는 Access Token에게 새로운 토큰을 발급해주기 위해 사용한다.

정리

오늘은 JWT에 관련된 내용을 다뤄보았다. 로그인 기능을 구현을 해야해서 하루빨리 개념에 대한 내용들을 숙지해야 할 필요성을 느꼈는데, 우연히 정리가 잘 되어있는 블로그를 통해 개념 숙지까지 완료를 하였다. 최종적으로 정리를 하자면,  Access Token은 접근에 관여하는 토큰, Refresh Token은 재발급에 관여하는 토큰의 역할이라고 볼 수 있겠다.

참고자료

https://inpa.tistory.com/entry/WEB-%F0%9F%93%9A-JWTjson-web-token-%EB%9E%80-%F0%9F%92%AF-%EC%A0%95%EB%A6%AC

 

[WEB] 📚 JWT 토큰 인증 이란? - 💯 이해하기 쉽게 정리

인증 방식 종류 (Cookie & Session & Token) 보통 서버가 클라이언트 인증을 확인하는 방식은 대표적으로 쿠키, 세션, 토큰 3가지 방식이 있다. JWT를 배우기 앞서 우선 쿠키와 세션의 통신 방식을 복습해

inpa.tistory.com

 

 

저작자표시

'개발적인' 카테고리의 다른 글

[에러일지] ESLint - Function component is not a function declaration  (0) 2023.03.01
토스 채용 서비스인 줄 알았는데,,  (0) 2023.02.24
This의 여러 쓰임새  (0) 2023.02.20
Axios Header에 Access Token을 넘기는 방법은?  (0) 2023.01.07
useEffect는 왜 사용할까?  (0) 2022.12.05

관련글

댓글

티스토리툴바