[Server] JWT(Json Web Token)

🔹 JWT란 ?

• JWT(Json Web Token)이란, JSON 포맷을 이용하여 사용자에 대한 속성을 저장하는 Claim 기반의 Web 토큰이다.
• JWT는 필요한 정보를 자체적으로 지니는 Self-Contained 방식으로 정보를 안정성 있게 전달한다.

 

🔹 JWT 구성

JWT는 위와 같이 Header, Payload, Signature 세 부분으로 구성된다.

각각의 구성 요소는 .을 기준으로 구분되며, Json으로 포맷된 각 부분은 Base64로 인코딩 되어 표현된다.

 

[ Header (헤더) ]

• alg와 typ로 구성된다.
• alg : 해싱 알고리즘, 서명(Signature) 및 토큰 검증에 사용된다. (서명을 해싱하기 위한 알고리즘 지정)
• typ : 토큰의 타입

[ Payload (페이로드) ]

• 토큰에서 사용할 정보의 조각들인 클레임(Claim)이 담겨있다.
• 클레임은 등록된 클레임(Registered Claim), 공개 클레임(Pubilic Claim), 비공개 클레임(Private Claim)으로 나누어지며, key-value 형태로 존재한다.

◽ 등록된 클레임 (Registered Claim)

등록된 클레임은 토큰 정보를 표현하기 위해 이미 정해진 종류의 데이터들로, 모두 선택적으로 작성이 가능하여 사용할 것을 권장한다.

• iss : 토큰 발급자(issuer)
• sub : 토큰 제목(subject), unique 할 값을 사용한다. (사용자 이메일)
• aud : 토큰 만료 시간(expiration), 시간은 NumericDate 형식(1480849147370)으로 되어있어야 하며, 언제나 현재 시간보다 이후로 설정되어 있어야 한다.
• nbf : 토큰 활성 날짜(not before), 날짜는 NumericDate 형식(1480849147370)으로 되어있어야 하며, 설정된 날짜가 지나지 전까지는 토큰이 처리되지 않는다.
• iat : 토큰 발급 시간(issued at), 토큰 발급 이후의 경과 시간
• jti : JWT 토큰 식별자(JWT ID), 중복 방지를 위해 사용하여, 일회용 토큰(Access Token) 등에 사용된다.

◽ 공개 클레임 (Pubilic Claim)

공개 클레임은 사용자 정의 클레임으로, 공개용 정보를 위해 사용된다.

충돌 방지를 위해 URI 포맷을 이용한다.

{
   "https://je0ng-dev-log.tistory.com": true
}

◽ 비공개 클레임(Private Claim)

비공개 클레임은 사용자 정의 클레임으로, 서버와 클라이언트 사이에 임의로 지정한 정로를 저장한다.

{
   "access_token": access
}

 

[ Signature (서명) ]

• 토큰을 인코딩하거나 유효성 검증을 할 때 사용하는 고유한 암호화 코드이다.
• 서명은 헤더와 페이로드, 비밀 키를 기반으로 생성되며, 해당 토큰이 변조되지 않았음을 확인하기 위한 메커니즘이다.
• 서명 생성 과정은 아래와 같다.
  1. 헤더와 페이로드의 값을 각각 BASE64로 인코딩
  2. 인코딩한 값을 비밀 키를 이용해 헤더에서 정의한 알고리즘으로 해싱
  3. 해싱한 값을 다시 BASE64로 인코딩하여 생성

 

🔹 JWT 장단점

장점

• JWT는 표준 규격을 따르기 때문에 여러 서비스 간 통합이 용이하고, 다양한 시스템에서 확장성 있게 사용할 수 있다.
• 서버 측 부하를 낮출 수 있으며, JWT는 독립적으로 작동하기 때문에 효율적인 접근 권한 관리가 가능합니다. 또한, 분산/클라우드 기반 인프라에서도 잘 작동합니다.
• 별도의 인증 저장소가 필요하지 않아, 인증 서버나 DB에 대한 의존성을 줄일 수 있다.

단점

• 서버로부터 받은 토큰이 쿠키 또는 로컬 스토리지, 세션 스토리지에 저장되므로 탈취당할 위험이 있다. 따라서 token에 중요 정보를 포함해서는 안된다.
• 토큰에 포함된 데이터가 많아질수록 토큰이 크기가 커지며, API 호출 시마다 이를 서버에 전달해야 하므로 네트워크 대역폭을 낭비할 수 있다.
• 한번 발급된 token은 수정이나 폐기가 불가능하다.
  • Access token의 만료 시간을 짧게 설정하고, Refresh token을 사용하여 Access token을 주기적으로 재발급함으로써, Access token이 탈취되더라도 해커가 이용할 수 있는 시간을 최소화할 수 있다.

 

🔸 Redis (참고)

🤔 Redis 사용 ?

• 로그인한 사용자의 요청이 들어올 때마다 토큰을 검증해야 한다.
• 이때, Redis를 사용하면 토큰 빠르게 검증하고, 토큰이 탈취될 경우를 대비할 수 있다.

🤔 Redis에 refreshToken만 저장 ?

• Redis에 refreshToken만 저장함으로써, 토큰이 탈취되거나 악용될 경우, 서버 측에서 해당 refreshToken을 무효화할 수 있는 수단을 갖게 된다.
  
  • 보안 : accessToken이 탈취되더라도 refreshToken이 없다면 새로운 accessToken을 발급받을 수 없기 때문에,  refreshToken을 Redis에 저장하면 보안성을 높일 수 있다.
  • 토큰 재발급 관리 : accessToken이 만료되었을 때, 서버는 Redis에 저장된 refreshToken과 클라이언트가 보내는 refreshToken을 비교하여 유효성을 검사하고, 새로운 accessToken을 재발급한다.

🤔 refreshToken 만료 ?

• Redis의 TTL(Time To Live) 설정으로 해결할 수 있다.
• refreshToken이 만료되면, 사용자는 재로그인을 통해 새로운 accessToken과 refreshToken을 발급받게 된다.
• 이때, 새로운 refreshToken은 Redis에 저장되며, 기존 refreshToken은 자동으로 만료된다.

 

 

 

 

 

 

📃 reference

• https://suddiyo.tistory.com/entry/Spring-JWTJson-Web-Token
• https://80000coding.oopy.io/1f213f10-185c-4b4e-8372-119402fecdd0