[Web] JWT

JWT 기반 인증

JWT 기반 인증이란 인증에 필요한 정보들을 암호화시킨 토큰을 의미합니다. JWT 기반 인증은 쿠키/세션 방식과 유사하게 JWT토큰(Access Token)을 HTTP 헤더에 실어 서버가 클라이언트를 식별합니다.

JWT 구조

JWT는 .을 구분자로 나누어지는 세 가지 문자열 조합입니다. 암호화된 상태로 존재합니다.

Header

Header는 alg과 typ는 각각 정보를 암호화할 해싱 알고리즘 및 토큰의 타입을 지정합니다.

Payload

Payload는 토큰에 담을 정보를 지니고 있습니다. 주로 클라이언트의 고유 ID 값 및 필요한 정보 등이 포함되는 영역입니다. key-value 형식으로 이루어진 한 쌍의 정보를 Claim이라고 칭합니다.

Signature

Signature는 인코딩된 Header와 Payload와 비밀키가 더해져 해싱되어 생성됩니다. Header와 Payload는 단순히 인코딩된 값이기 때문에 제 3자가 디코딩하여 내용 확인이 가능하지만, Signature는 서버 측에서 관리하는 비밀키가 유출되지 않는 이상 디코딩할 수 없습니다. 따라서 Signature는 토큰의 위변조 여부를 확인하는데 사용됩니다.

JWT 인증과정

JWT 과정

• 클라이언트 로그인 요청이 들어오면, 서버는 검증 후 클라이언트 고유 ID 등의 정보를 Payload에 담습니다.
• 암호화할 비밀키를 사용해 Access Token(JWT)을 발급합니다.
• 클라이언트는 전달받은 토큰을 저장해두고, 서버에 요청할 때 마다 토큰을 요청 헤더 Authorization에 포함시켜 함께 전달합니다.
• 서버는 토큰의 Signature를 비밀키로 복호화한 다음, 위변조 여부 및 유효 기간 등을 확인합니다.
• 유효한 토큰이라면 요청에 응답합니다.

JWT 장점

• Header와 Payload를 가지고 Signature를 생성하므로 데이터 위변조를 막을 수 있습니다.
• 인증 정보에 대한 별도의 저장소가 필요없습니다.
• JWT는 토큰에 대한 기본 정보와 전달할 정보 및 토큰이 검증됬음을 증명하는 서명 등 필요한 모든 정보를 자체적으로 지니고 있습니다.
• 클라이언트 인증 정보를 저장하는 세션과 다르게, 서버는 무상태가 됩니다.
• 확장성이 우수합니다.
• 토큰 기반으로 다른 로그인 시스템에 접근 및 권한 공유가 가능합니다.
• OAuth의 경우 Facebook, Google 등 소셜 계정을 이용하여 다른 웹서비스에서도 로그인을 할 수 있습니다.
• 모바일 어플리케이션 환경에서도 잘 동작합니다.

JWT 단점

• 토큰은 클라이언트에 저장되어 데이터베이스에서 사용자 정보를 조작하더라도 토큰에 직접 적용할 수 없습니다.
• 더 많은 필드가 추가되면 토큰이 커질 수 있습니다.
• 비상태 애플리케이션에서 토큰은 거의 모든 요청에 대해 전송되므로 데이터 트래픽 크기에 영향을 미칠 수 있습니다.
• 쿠키/세션과 다르게 JWT는 토큰의 길이가 길어, 인증 요청이 많아질수록 네트워크 부하가 심해집니다.
• Payload 자체는 암호화되지 않기 때문에 유저의 중요한 정보는 담을 수 없습니다.
• 토큰을 탈취당하면 대처하기 어렵습니다.
• 토큰은 한 번 발급되면 유효기간이 만료될 때 까지 계속 사용이 가능하기 때문입니다.
• 특정 사용자의 접속을 강제로 만료하기 어렵지만, 쿠키/세션 기반 인증은 서버 쪽에서 쉽게 세션을 삭제할 수 있습니다.

References

인증 방식 : Cookie & Session vs JWT

JWT.IO

JWT (JSON Web Token) 이해하기와 활용 방안 - Opennaru, Inc.