JWT(Json Web Token)
JWT(Json Web Token)이란
Json 포맷을 이용하여 사용자에 대한 속성을 저장하는 Claim 기반의 Wed Token 이다 토큰 자체를 정보로 사용하는 Self-contained 방식 정보를 안전 하게 전달 한다 주로 회원인증이나 정보 전달에 사용되는 JWT는 로직으로 처리된다
+JWT를 static변수와 로컬 스토리지에 저장
+static 변수에 저장되는 이유는 HTTP 통신을 할 떄 마다 JWT를 HTTP에 담아서 보내야 하는데 로컬 스토리지에서 불러오면 오버헤드 발생
+클라이언트에서 JWT를 포함해 요청하면 서버는 허가된 JWT인지 검사한다
+로그아웃을 할 경우 로컬 스토리지에 포함된 JWT 데이터를 제거한다
+실제 서비스의 경우에는 로그아웃 시, 사용했던 토큰을 blacklist라는 DB 테이블에 넣어 해당 토큰의 접근을 막는 작업을 해주어야 한다.
JWT 구조
+JWT는 HEADER.PayLod,Signature 3부분으로 이루어진다.Json 각 부분은 Base64Url로 인코딩
+각각의 부분을 이어 주기 위해, 구분자를 사용
+BseURL는 암호화된 문자열이 아니다
+문자열에 대해 항상 같은 인코딩 문자열을 반환한다
1Header(헤더)
토큰의 헤더는 Typ 과 alg 두 가지 정보로 구성
+alg는 헤더를 암호화 하는 것이 아니다 , signature를 해상하기 위한 알로리즘을 지정
- typ:토큰의 타입을 지정 ex)JWT
- alg: 알고리즘 방식을 지정, 서명(Signature)및 토큰 검증에 사용
2PayLoad(페이로드)
토큰의 클레임은 토큰정보를 표현하기 위해 이미 정해진 종류의 데이터
2-1등록된 클레임
- iss: 토큰 발급자
- sub:토큰 제목
- aud:토큰 대상자,
- exp:토큰 만료 시간,NumericDate형식으로 되오 있다
- nbf:토큰 활성 날짜 ,이 날이 지나기 전의 토큰은 활성화 되지 않음
- iat: 토큰 발급 시간 ,토큰 발급 이후의 경과 시간을 알 수 있다
- jti:JWT토큰 식별자,중복 방지를 위해 사용
2-2 공개 클레임
공개 클레임은 사용자 정의 클레임, 공개용 정보를 위해 사용, 충돌 방지를 위해 URL 포맷 사용
2-3비공개 클레임
비공개 클레임은 사용자 정의 클레임으로, 서버와 클라이언트 사이에 임의로 지정한 정보 저장
3 Signature(서명)
서명은 토큰을 인코딩하거나 유효성 검증을 할 때 사용 하는 고유한 암호화 코드 서명은 위에서 만든 헤더와 페이로드의 값을 각각 Base64URL로 인코딩, 인코딩한 값을 비밀 키를 이용해 헤더에서 정의한 알고리즘으로 해싱
+생성된 토큰은 HTTP 통신을 할 때 Authorization이라는 key의 value로 사용된다. 일반적으로 value에는 Bearer이 앞에 붙여진다+
[JWT 정리]
- self-contained : 토큰 자체에 정보를 담고 있어 위험하다
- 토큰 길이:토큰의 페이로드에 3종류의 클레임을 저장,정보가 많아질수록 토큰의 길이가 늘어나 네크워크 부하를 줄 수 있다
- Payload인코딩:페이로드 자체는 암호화 된 것이 아니다 Base64URL 로 이콘딩 ,중간에 Payload 탈취 하여 디코딩하면 데이터를 볼 수 있다 JWE 암호화 하거나 Payload에 중요한 데이터를 넣지 않으면 된다
- Stateless:JWT는 상태를 저장하지 않기 때문에 한번 만들어지면 제어가 불가능하다