65.02_[Spring Security]JWT_JSON Web Token_22.11.23

>JWT

: JSON Web Token

: JSON 포맷의 토큰 정보를 인코딩한 후, 인코딩 된 토큰 정보를 비밀키(개인키)로 서명한 메세지를 Web Token으로써 인증 과정에 사용

: Rest API 통신을 사용하는 백엔드 서버에 사용하기 적합한 자격 증명 방식

>JWT의 종류

1. Access Token

2. Refresh Token

>액세스 토큰, Access Token

: 사용자 정보에 접근할 수 있는 권한을 부여하는데 사용되는 토큰

: 액세스 토큰은 보안 위험성 때문에 유효 기간을 짧게 주어 오래 사용할 수 없다.

>리프레시 토큰, Refresh Token

: 새로운 액세스 토큰을 받기 위해 사용되는 토큰

: 액세스 토큰이 만료되면 리프레시 토큰으로 새로 액세스 토큰을 발급받고, 이를 통해 사용자는 다시 로그인 인증을 할 필요가 없다.

>토큰 설정(일반적인 경우)

Access Token 만료 기간 : 30 ~ 1시간

Refresh Token 만료 기간 : 3일 ~ 1달

>JWT의 구조

: ` . ` 을 기준으로 세 부분으로 나뉘어진다.

1. Header

: 어떤 알고리즘으로 sign할 것인지 정의함.

: 어떤 type의 토큰을 사용하는지 정의함.

2. Payload(data)

: 사용자 정보를 담는 부분이고, 민감 정보는 담지 않는 것이 좋다.

: 접근 권한, 사용자 이름 등을 저장.

3. Signature

: Signature은 원하는 SecretKey로 Header와 Payload를 단방향 암호화를 수행한 결과(메세지)이다.

: 어떤 알고리즘으로 암호화를 할 것이고, 어떤 인코딩 방식으로 header와 payload를 인코드 했는지, 그리고 어떤 SecretKey로 암호화할 것인지에 대한 정보를 암호화하여 저장한다.

: Signature을 통해 토큰의 위변조 유무를 검증한다.

<예시>
암호화 알고리즘 : HMAC SHA256 알고리즘
인코딩 방식 : base64
암호키 이름 : secret

Signature : HMACSHA256(base64UrlEncode(header) + '.' + base64UrlEncode(payload), secret);

>JWT 사용 예시

: JWT는 권한 부여에 매우 유용함.

: 사용할 앱이 대형 서비스(구글, 카카오, 네이버 등)에 저장된 로그인 정보를 JWT로 발급받아 로그인 인증을 하면 사용자는 해당 앱에서 주어진 권한으로 앱을 편하게 이용할 수 있다.

>토큰 기반 인증 절차

1. ID, PW가 포함된 로그인 요청 (클라이언트 -> 서버)

2. ID, PW 확인 (서버 - DB)

3. 토큰 생성 (서버)

4. 토큰 전송 (서버 -> 클라이언트)

5. 토큰 저장 (Local storage, Sessiong storage, cookie 등)

6. HTTP 통신 시, Http Header 혹은 Cookie에 토큰을 담아 request 전송 (클라이언트 -> 서버)

7. 토큰 검증 후 요청 처리 및 응답 발송(서버)

>JWT 인증의 장점

1. 세션 방식에 비해 확장에 용이한 애플리케이션을 구현하기 용이함.

2. 인증을 담당하는 시스템을 다른 플랫폼으로 분리하기 용이함.

: 자격 증명 정보를 직접 관리하지 않아도 되기 때문에 다른 플랫폼의 자격 증명 정보로 인증하는 것이 가능함.

: 이러한 이유로 구글 로그인, 네이버 로그인, 깃헙 로그인 등이 존재함.

3. 토큰의 payload 안에 사용자의 권한 정보를 포함하기 용이함.

4. 한 번 자격 인증이 되면 토큰 만료 전까지 Stateful하게 사용할 수 있음.

>JWT 인증의 단점

1. Paylaod 디코딩이 쉽기 때문에 보안에 취약함.

2. 토큰 길이가 길어지면 네트워크에 과부하를 줄 수 있음.

3. 토큰은 자동 삭제가 되지 않기 때문에 토큰 만료 시간을 꼭 주어야 함.