개요

• 정의 : JWT는 JSON형식의 데이터를 안전하게 전달하기 위한 토큰 기반 인증 방식
• “유효한 토큰인지만 확인되면 토큰 소지자는 인증된다”

특징

• Stateless : 서버에서 세션유지 x → 확장성이 뛰어나다.
• 자체포함 : 토큰 내부에 모든 필요한 정보를 Payload로 포함하므로, 별도의 DB조회 없이 인증 처리가능
• 보안 : 서명을 통해 토큰이 변조되지 않았음을 보장. HTTPS가 필요
• 클라이언트가 토큰을 보관하므로 토큰은 탈취 위험이 있다.

토큰 Flow chart

토큰 발급과 사용 시퀀스

토큰 발급과정

토큰 사용과정

토큰 내부 구조

• 토큰은 각각 **Base64Url인코딩(양방향)**된 Header, Payload, Signature 순서대로 . 으로 구분하여 연결된 문자열이다. 주목할 점은 데이터 무결성(변조 방지)를 위한 방식이라는 것

• Header.Payload.Signature

• 실제 토큰 문자열

  eyJhbGciOiJIUzI1NiJ9**. // 임의로 개행한 것임**
  eyJuYW1lIjoidGVzdCIsImVtYWlsIjoidGVzdEB0ZXN0LmNvbSIsInN1YiI6IjEiLCJpYXQiOjE3NDIzNzQwMjIsImV4cCI6MTc0MjM3NzYyMn0.
  z169LPkL1HNxhLxQERqvosPgDnDMAz1dxWRd-JfJaf0
  

• 각 파트를 json형식으로 본다면 아래와 같다.

• Header 구조

  • alg : 서명 알고리즘 지정 (예: HS256, RS256)대칭키, 비대칭키 등을 선택한다.
  • typ : 토큰 유형 (항상 “JWT”)

{
  "alg": "HS256",
  "typ": "JWT"
}

• Payload 구조
  • Claims이라고 부르며, 클라이언트와 서버가 공유할 정보를 포함한다.
  • 클레임의 종류로는 **Registered Claim, Public Claim, Private Claim**이 있다.
  • Registered Claim
    • 토큰 정보를 표현하기 위해 정해진 데이터들
    • iss: 특정 발급자(서버)에서 생성된 토큰인지 확인
    • sub (Subject): 사용자 식별자 (예: 사용자 ID)
    • iat (Issued At): 토큰 발급 시간 (Unix timestamp)
    • exp (Expiration): 토큰 만료 시간 (Unix timestamp)
    • aud: 토큰 대상자(audience), 허용된 클라이언트인지 확인
    • nbf: 토큰 활성 날짜(not before), 이 날이 지나기 전의 토큰은 활성화되지 않음
    • jti: JWT 토큰 식별자(JWT ID), 중복 방지를 위해 사용하며, 일회용 토큰(Access Token), Blacklist 등에 사용

{
  "sub": "1234567890",
  "iat": 1516239022,
  "exp": 1716239022
}

• Signature 구조
  • 헤더와 페이로드를 연결한 후, 서명(secret key)으로 암호화
  • 비대칭 서명(RS256 등) 을 사용하면, 공개키/개인키 기반으로 검증 가능
  • Json형식이 아니라 수도코드로 표현된 암호화 과정이다.

HMACSHA256(
  base64UrlEncode(header) +
   "." +
  base64UrlEncode(payload),
  secret
)

Claims 종류

• exp(만료 시간), iss(발급자), aud(대상)는 보안상 필수로 포함하는 것이 좋음.