JWT

JWT란 무엇일까?

JWT는 서버와 클라이언트 간 정보를 주고 받을 때 HTTP Request Header에 넣어 주는 JSON 토큰을 말한다. 토큰을 사용하여 서버는 별도의 인증 과정 없이 토큰 정보만으로 인증을 처리할 수 있게 된다.

OAuth는 Open Authorization, Open Authentication 뜻하는 것으로 애플리케이션(페이스북,구글,트위터)(Service Provider)의 유저의 비밀번호를 Third party앱에 제공 없이 인증,인가를 할 수 있는 오픈 스탠다드 프로토콜이다.
OAuth 인증을 통해 애플리케이션 API를 유저 대신에 접근할 수 있는 권한을 얻을 수 있다. OAuth가 사용 되기 전에는 외부 사이트와 인증 기반의 데이터를 연동할 때 인증 방식의 표준이 없었기 때문에 기존의 기본 인증인 아이디와 비밀번호를 사용하였는데, 이는 보안상 취약한 구조 였다. 유저의 비밀번호가 노출될 가망성이 크기 때문이다

JWT를 사용하게 되면 Payload안에 클라이언트나 서버 간에 다양한 정보를 포함할 수 있다. 그렇기 때문에 JWT가 범용적으로 사용하게 된 것일지도 모르겠다. 그로 인해 사람들이 하는 오해중에 하나가 Oauth는 JWT이다. 라고 생각하는 사람도 적지 않다.

OAuth token을 사용하게 되면 token을 사용하여 별도의 저장 공간에 저장하여 다양한 인증 정보를 보관하게 된다. 그렇게 되면 클라이언트 요청 시 서버는 매번 토큰 저장 공간에서 필요한 인증 정보를 찾아서 사용하게 된다.

https://bcho.tistory.com/999 [조대협님 블로그에서 인용]

토큰의 타입과 해시 암호화 알고리즘으로 구성되어 있다.

토큰에 담을 클레임(claim) 정보를 포함하고 있다. name-value 한 쌍으로 이루어져있고, 여러개의 클레임 들을 넣을 수 있다.

서명(Signature)은 위에서 만든 헤더(Header)와 페이로드(Payload)의 값을 각각 BASE64로 인코딩하고, 인코딩한 값을 비밀 키를 이용해 헤더(Header)에서 정의한 알고리즘으로 해싱을 하고, 이 값을 다시 BASE64로 인코딩하여 생성한다.

Last updated 3 years ago