[정보보안] JWT(JSON Web Token) 이란?

 

🚀 JWT(JSON Web Token)

    🔽  개요

이용자가 Login을 할때, 해당 회원의 고유한 Token을 만들어야 하는데, 그때 `JWT`를 이용하는 것이에요.

인증에는 대표적 3인방이 있는데, `Cookie, Session, Token` 방식이 있는 것이에요.

 

JWT는 당사자간에 정보를 `JSON` 객체로 안전하게 전송하기 위한 가볍고, 독립적인 방식을 정의하는 개방형 표준(RFC 7519)인 것이에요. 이 정보는 `Digital Sign` 개념이 들어가 있어 해당 값을 확인하고, 상대방이 보냈다는 것을 신뢰할 수 있는 것이에요.

좀 더 간단히 이야기하면 정보를 안전하게 전달하기 위해 회원의 권한 같은 것을 확인하기 위해 사용하는 친구인 것이에요.

 

 

JWT 공식 홈페이지

 

 

 

        📦 구조

JWT 구조

반응형

JWT는 위와 같이 생긴 것이에요. 크게 세가지로 구분이 되는 것이에요.

`Header`는 Token에 대한 `Meta Data`를 포함하고 있는 것이에요.

`Meta Data`안에는 `암호 알고리즘 종류(SHA256, RSA 등등)`와 `Type`이 들어 있는 것이에요. 

 

`Payload`는 `회원 정보(Issuer)`, `만료 기간(Expiration Time)`, `주제(Subject)` 등등이 올 수 있는 것이에요.

즉 가장 중요한 Data가 담기는 부분인 것이에요.

 

`Verify Signature`는 JWT의 마지막 세그먼트인데, Token을 보낸 사람에 의해 전자 서명이 되었으며, 어떤 식으로든 변경되지 않았는지 확인하는데 사용되는 것이에요.

서명은 `Header`, `Payload`, `암호화할 값`을 이용하여 만들어지는 것이에요.

 

 

        📦 JWT 사용 흐름

최초 회원이 Login을 하면 Token을 생성하게 되는데, `Payload` 부에 회원 이름, 회원 역할, Token 생성일시, Token 만료 일시와 함께 암호화에 사용될 Key 값(평문)을 합쳐서 `Hash` 알고리즘을 통해 단방향으로 암호화 하는 것이에요.

 

어떤 이용자가 관리자만 보고 싶은 내용을 보려고 할 때와 관리자가 해당 내용을 보려고 할 때 어떤 일이 발생할까요?

최초 Client에서는 요청을 보낼 때 보관하고 있던 Token(Login시 발행)을 `HTTP Request Header`에 넣어 함께 Server에게 보내게 되는 것이에요.

Server는 해당 값을 검증하기 위해 Token을 다시 만들어 두 개를 비교하는 것이에요.

이때 요청으로 들어온 `JWT Header`와 `JWT Payload`를 가져오고 Server안에 가지고 있던 비밀값을 이용해서 `Signature` 부분을 다시 만드는 것이에요.

그래서 값이 맞다면 관리자라고 판단하고 해당 내용을 볼 수 있게 해주고, 아니면 관리자가 아니라고 판단하고, 해당 게시글을 보지 못하게 할 수 있는 것이에요.

 

 

 

    🔽 상세 내용

        📦 Access Token과 Refresh Token 이야기

JWT (Json Web Token)는 인증을 위해 사용되는 토큰 형식으로 일반적으로 두 가지 종류의 토큰을 사용해요.
바로 Access Token과 Refresh Token이에요.

종    류	역    할	특      징
Access Token	주로 Client가 보호된 자원(Resource) 접근 시 사용	✅ 짧은 유효 기간을 가지며, 보통 몇 분에서 몇 시간 정도로 설정. ✅ Client가 Server에 Login하여 인증 받은 뒤 발급. ✅ Client는 Access Token을 HTTP Header나, Query Parameter 등을 통해 Server에 제시하여 보호된 자원에 접근할 수 있는지 여부를 검증. ✅ 주로 인가(Authorization) Server에서 발급.
Refresh Token	Access Token 만료 시 Refresh Token을 사용하여 새로운 Access Token 발급	✅ Access Token 보다 긴 유효 기간을 가지며, 일반적으로 수일에서 수주일 정도 설정. ✅ Access Token 만료 혹은 갱신 필요시 사용. ✅ 주로 인가(Authorization) Server에서 발급. ✅ 보안 상 중요한 정보이므로, 안전한 저장소(데이터 베이스 등)에 저장.

사실 JWT를 사용할 때, Refresh Token을 구현하냐 마냐에 대해 갑론을박이 존재하고 있어요. 그렇다면 Refresh Token의 장, 단점은 무엇이 있을까요?

장      점	단        점
1. Access Token의 짧은 유효 기간으로 인해 Access Token 만료 시에도 Refresh Token을 사용하여 새로운 Access Token을 얻을 수 있다. 2. 이용자 및 사용자는 위의 이유로 자주 Login을 하지 않아도 된다.	1. 보안 상 주의가 더욱 필요. Refresh Token이 노출되게 될 경우 악의적인 사용자가 계속해서 새로운 Access Token을 발급 받을 수 있는 문제. 2. Refresh Token을 사용하는 경우 주기적으로 갱신이나, 회수 정책을 설정하여 보안 강화에 대한 노력 필요.

위의 내용들로 인해 Refresh Token의 사용 여부는 보안 요건, 이용자 혹은 사용자 경험 및 Application의 특정 요구 사항에 따라 적용할지 말지가 결정되게 돼요.

Refresh Token을 안전한 저장소에 보안적으로 관리되고, 적절한 갱신 및 회수 정책이 적용된다면 Refresh Token을 사용하는 것이 매우 효율적인 인증/인가 구현 방안일 수 있어요.

다만, 적절한 관리 없이 사용될 경우 보안 위협이 될 수 있기 때문에 주의가 필요해요.