JWT(JSON Web Token)

JWT(JSON Web Token)

JWT(JSON Web Token)는 웹 애플리케이션에서 사용되는 인증 및 권한 부여를 위한 토큰 기반의 인증 방식입니다.

 

데이터를 안전하고 간결하게 전송하기 위해 고안된 표준 인증 방식으로 토큰 인증 방식에서 가장 범용적으로 사용되며 JSON 포맷의 토큰 정보를 인코딩 후, 인코딩 된 토큰 정보를 Secret Key로 서명(Sign)한 메시지를 Web Token으로써 인증 과정에 사용합니다.

 

JWT는 보통 두 가지 종류의 토큰을 사용자 자격 증명에 이용합니다.

 

1. 액세스 토큰(Access Token)

사용자가 리소스에 접근하기 위해 인증된 상태를 나타내는 토큰을 액세스 토큰이라고 합니다.

보호된 정보들(사용자의 이메일, 연락처, 사진 등)에 접근할 수 있는 권한 부여에 사용합니다.

 

클라이언트가 처음 인증을 받게 될 때(로그인 시), 액세스 토큰과 리프레시 토큰 두 가지를 다 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 액세스 토큰입니다.

 

액세스 토큰(Access Token)을 악의적인 사용자가 얻어냈다면, 악의적인 사용자는 자신의 권한을 이용해 서버에 여러가지 요청을 보낼 수 있습니다. 이러한 일을 방지하고자 액세스 토큰에는 비교적 짧은 유효기간을 주어 탈취되더라도 오랫동안 사용할 수 없도록 설정합니다.

 

이때 액세스 토큰의 유효기간이 만료된다면 리프레시 토큰(Refresh Token)을 사용하여 새로운 액세스 토큰을 발급받습니다. 이때 사용자는 다시 로그인 인증을 할 필요가 없습니다.

 

2. 리프레시 토큰(Refresh Token)

액세스 토큰의 유효기간이 만료되었을 때, 새로운 액세스 토큰을 발급받기 위해 사용되는 토큰을 리프레시 토큰이라고 합니다. 리프레시 토큰은 사용자의 인증 상태를 유지하고 지속적으로 액세스 토큰을 갱신할 수 있도록 도와줍니다.

 

리프레시 토큰은 일반적으로 액세스 토큰과 함께 발급되며, 액세스 토큰의 유효기간이 만료되면 사용자는 리프레시 토큰을 사용하여 서버에 새로운 액세스 토큰을 요청합니다. 서버는 리프레시 토큰을 검증하고, 유효한 경우 새로운 액세스 토큰을 발급합니다. 이 과정은 사용자에게 인증 상태를 유지하면서도 액세스 토큰을 자동으로 갱신하는 데에 사용됩니다.

 

리프레시 토큰은 유효기간이 길기 때문에 만약 악의적인 사용자가 이를 얻어낸다면 큰 문제가 될 수 있습니다.

리프레시 토큰을 이용해 액세스 토큰을 다시 발급받으면 사용자에게 피해를 입힐 수 있기 때문입니다.

 

그렇기 때문에 리프레시 토큰은 액세스 토큰에 비해 보안 요소가 높아야합니다.

사용자의 편의보다 정보를 지키는 것이 더 중요한 웹 애플리케이션은 리프레시 토큰을 사용하지 않는 곳도 많습니다.

 

 

JWT 구조

JWT 구조

JWT는 세 부분으로 구성됩니다.

 

1. 헤더(Header)

헤더는 이 토큰이 어떤 종류의 토큰인지, 어떤 알고리즘으로 Sign할지 정의합니다.

JWT는 JSON Web Token의 약자로 JSON 포맷 형태로 정의됩니다.

일반적으로 'alg' 필드에는 사용된 해싱 알고리즘이, 'typ' 필드에는 토큰의 유형이 기록됩니다. 

헤더는 Base64Url로 인코딩되어 토큰의 첫 번째 부분으로 나타납니다.

{
  "alg": "HS256",
  "typ": "JWT"
}

 

2. 페이로드(Payload)

페이로드에는 서버에서 활용할 수 있는 사용자의 정보를 담고있습니다.

페이로드는 클레임(Claim)이라고도 불리는 {이름 - 값} 페어들로 구성됩니다.

접근 권한을 담을 수도 있고, 사용자의 이름 등 필요한 데이터를 담을 수 있습니다.

 

Payload는 다음으로 설명할 Signature를 통해 유효성이 검증될 정보이긴 하지만, 민감한 정보는 담지 않는 것이 좋습니다.

 

페이로드는 JSON 형식으로 작성되며, 클레임들이 키-값 형태로 포함됩니다.

{
  "sub": "someInformation",	// 클레임 1
  "name": "phillip",		// 클레임 2
  "iat": 151623391		// 클레임 3
}

위 예시 페이로드를 설명하자면,

 

"sub" : "someInformation"

토큰이 식별하는 주체(subject)를 나타냅니다. 이 경우 "someInformation"이라는 값을 갖습니다.

"name" : "phillip"

사용자의 이름을 나타냅니다. 이 경우 "phillip"이라는 값을 갖습니다.

"iat" : 151623391

발급 시간(Issued At)을 나타냅니다.

이 클레임은 토큰이 발급된 시간을 의미합니다. 이 경우 151623391이라는 값을 갖습니다.

 

이와 같은 페이로드는 클라이언트와 서버 간에 전달되는 JWT에 포함될 수 있습니다.

이를 통해 클라이언트가 신원을 확인하고, 서버는 클레임에 포함된 정보를 사용하여 사용자를 인증하고 권한을 부여할 수 있습니다.

 

3. 시그니쳐(Signature)

시그니쳐는 토큰의 무결성을 검증하는 데 사용됩니다.

 

base64로 인코딩 된 헤더와 페이로드가 완성되었다면, 시그니쳐에서는 원하는 비밀 키(Secret Key)를 사용하여 헤더에서 지정한 알고리즘을 사용하여 헤더와 페이로드에 대해서 단방향 암호화를 수행합니다.

 

이렇게 암호화된 메세지는 토큰의 위변조 유무를 검증하는데 이 과정을 토큰의 무결성을 검증한다고 합니다.

서버는 이러한 과정을 통해 토큰의 유효성을 확인할 수 있습니다.

 

서명은 일반적으로 HMAC(Hash-based Message Authentication Code) 또는 RSA(암호화 알고리즘)와 같은 암호화 알고리즘을 사용하여 생성됩니다. 토큰을 생성할 때 사용한 비밀 키를 알고 있어야만 서명을 확인할 수 있습니다. 이를 통해 토큰이 올바른 발급자에서 생성되었는지를 검증할 수 있습니다.

 

예를 들어, 만약 암호화 방법 중 HMAC SHA256 알고리즘을 사용한다면 시그니쳐는 아래와 같은 방식으로 생성됩니다.

HMACSHA256(base64UrlEncode(header) + '.' + base64UrlEncode(payload), secret);

 

토큰 기반 인증 절차 과정

1. 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보냅니다.
2. 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성합니다.
   • Access Token과 Refresh Token을 모두 생성합니다.
     • 토큰에 담길 정보(Payload)는 사용자를 식별할 정보, 사용자의 권한 정보 등이 될 수 있습니다.
     • Refresh Token 이용해 새로운 Access Token을 생성할 것이므로 두 종류의 토큰이 같은 정보를 담을 필요는 없습니다.
3. 토큰을 클라이언트에게 전송하면, 클라이언트는 토큰을 저장합니다.
   • 저장하는 위치는 Local Storage, Session Storage, Cookie 등이 될 수 있습니다.
4. 클라이언트가 HTTP Header(Authorization Header) 또는 쿠키에 토큰을 담아 request를 전송합니다.
   • Bearer authentication을 이용합니다. 
5. 서버는 토큰을 검증하여 정상 발급 토큰이라 판단이 될 경우, 클라이언트의 요청을 처리한 후 응답을 보내줍니다.

토큰 기반 인증 절차 과정

 

JWT의 장·단점

 

JWT를 이용한 인증의 장점

 

1. 상태를 유지하지 않음(Stateless)

서버가 세션 정보를 저장하지 않고도 클라이언트를 인증할 수 있어 간단하고 확장성이 좋습니다.

 

2. 확장에 용이함(Scalable)

토큰 자체에 정보를 담고 있어 별도의 저장소가 필요 없어 여러 대의 서버에서도 쉽게 사용할 수 있습니다.

 

3. 자격 증명 정보를 매번 전송할 필요없음

토큰을 한 번 발급하면 그것만으로 여러 요청에 대응할 수 있어 효율적입니다.

 

4. 다른 플랫폼과의 인증 분리 가능

다른 서비스의 인증 정보를 사용하여 인증이 가능하므로, 인증 시스템을 분리하는 것이 쉬워집니다.

 

5. 권한 부여에 용이함

토큰에 사용자의 권한 정보를 포함하여 권한 부여를 쉽게 처리할 수 있습니다.

 

JWT를 이용한 인증의 단점

 

1. Payload의 디코딩이 용이함

토큰의 Payload는 base64로 인코딩되기 때문에 토큰을 탈취하여 디코딩하면 저장된 정보를 확인할 수 있습니다.

이러한 이유 때문에 민감한 정보는 Payload에 저장하지 않아야 합니다.

 

2. 긴 토큰이 네트워크에 부하를 줄 수 있음

토큰에 저장하는 정보가 많아질수록 토큰의 길이가 길어지며, 이는 네트워크에 부하를 줄 수 있습니다.

 

3. 토큰은 자동으로 삭제되지 않음

한 번 생성된 토큰은 자동으로 삭제되지 않으므로, 토큰 만료 시간을 추가해야 합니다.

만료 시간을 설정하지 않으면 탈취된 토큰이 오랜 기간 동안 유효하게 남을 수 있습니다.

 

4. 만료 시간 설정에 주의 필요

토큰의 만료 시간을 너무 길게 설정하면 탈취된 토큰을 오랜 기간 동안 악용할 수 있으므로 적절한 만료 시간을 설정해야 합니다.

 

 

JWT를 사용하여 인증 시스템을 구현하거나 도입하는데 있어서 이러한 장점과 단점을 고려하여 적절한 설계와 보안 조치를 취하는 것이 중요합니다.