<aside> 💡 JWT란?

</aside>

• 인증에 필요한 정보들을 암호화시킨 토큰
  • 쿠키/세션 방식과 유사하게, JWT 토큰을 헤더에 실어 서버에서 클라이언트를 식별한다.

JWT는 3가지 부분으로 이루어져 있다.

• Header

  {
  		"alg": "HS256", // 암호화할 알고리즘 종류
  		"typ": "JWT", // 토큰의 타입
  }
  

• Payload

  {
  		"sub": "123456789", // 실제로 토큰에 담을 정보들
  		"name": "Jinwon", // 주로 클라이언트 ID, 유효 기간 등
  		"iat": 20220709 // Key-Value 형식으로 이루어진 한 쌍의 정보 -> Claim!
  }
  

• Signature

  • 인코딩된 Header와 Payload를 더한 뒤, 비밀키로 해싱해서 생성한다.
  • 서버측에서 관리하는 비밀키가 유출되지 않는 이상, 복호화할 수 없다.
  • 따라서, 토큰의 위변조 여부를 확인하는 데 사용!

토큰 인증 과정

1. 클라이언트 로그인 요청이 들어오면, 서버는 검증 후 클라이언트 고유 ID등의 정보를 Payload에 담는다.
2. 암호화할 비밀키를 사용해서 Access Token(JWT)을 발급한다.
3. 클라이언트는 전달받은 토큰을 저장해두고, 서버가 요청할 때마다 토큰을 헤더에 포함시켜 같이 전달한다.
4. 서버는 토큰의 Signature를 비밀키로 복호화한 다음, 위변조 여부나 유효 기간 등을 확인한다.
5. 유효한 토큰이라면 그에 맞는 응답을 반환!

토큰의 장점