jwt

Json Web Token의 줄임말
세션 대신에 회원 인증에서 주로 사용되며 어떤 정보를 주고 받을 때도 사용하는 듯.

JWT 구성요소

. 을 구분자로 3가지 문자열로 구성되어있음.
[헤더header].[내용payload].[서명signature]
헤더
- alg, typ 두가지 정보를 가지고 있음.
- alg : 해싱 알고리즘을 말함.
- typ : 토큰 타입
내용
- 정보들이 들어가 있는 부분.
- 보통 claim 이라 부른다.
- name, value 한 쌍으로 이루어져 있음.
- 클레임은, registered, public, private 클레임으로 이루어져 있음.

클레임

등록된 클레임

토큰에 담기는 정보들의 이름name이 이미 정해진 클레임.
이러한 정해진 클레임을 사용하는 것은 개발자가 선택하면 됨.
예시

iss: 토큰 발급자 (issuer)
sub: 토큰 제목 (subject)
aud: 토큰 대상자 (audience)
exp: 토큰의 만료시간 (expiraton), 시간은 NumericDate 형식으로 되어있어야 하며 (예: 1480849147370) 언제나 현재 시간보다 이후로 설정되어있어야합니다.
nbf: Not Before 를 의미하며, 토큰의 활성 날짜와 비슷한 개념입니다. 여기에도 NumericDate 형식으로 날짜를 지정하며, 이 날짜가 지나기 전까지는 토큰이 처리되지 않습니다.
iat: 토큰이 발급된 시간 (issued at), 이 값을 사용하여 토큰의 age 가 얼마나 되었는지 판단 할 수 있습니다.
jti: JWT의 고유 식별자로서, 주로 중복적인 처리를 방지하기 위하여 사용됩니다. 일회용 토큰에 사용하면 유용합니다.

공개 클레임

URI 형식으로 이름이 지어진 클레임
왜? 충돌 방지를 위해.
예시 : "https://velopert.com/jwt_claims/is_admin": true

비공개 클레임

등록된, 공개된 클레임도 아닌, 서버와 클라이언트 사이에 협의에 의해서 사용되는 클레임 이름을 말함
아마도 이번 프로젝트에서는 이 클레임 하나만을 사용하면 될듯.

서명

서명은 헤더의 인코딩값과 정보의 인코딩 값을 합친 후, 비밀키로 해쉬하여 생성

자바에서 JWT 생성과 검증 과정

어떤 클레임들(claim)을 사용할 지 정하고, JWT 토큰 생성
JWT를 암호화(signWith) 서명하여 JWS를 만듬.

어떤 알고리즘을 사용할것인지도 정해야하고

JWT 압축(compact)

주의해야할 점

토큰에는 민감한 정보를 저장하면 안됨.
왜? 변조에 강한 것이지, 보안에 강한 것이 아니기 때문에
이를 위해서, 유효기간, 생성기간, 권한등을 설정하는 것.

참고

https://jwt.io/
https://velopert.com/2389
https://medium.com/@OutOfBedlam/jwt-%EC%9E%90%EB%B0%94-%EA%B0%80%EC%9D%B4%EB%93%9C-53ccd7b2ba10

Previousjitter Nextweb-application-firewall

Last updated 9 months ago

Was this helpful?