본문 바로가기
JAVA/자료구조

JWT (JSON Web Token)

ha-yeong 2024. 10. 21. 01:05

JWT (JSON Web Token)

JWT는 토큰 기반 인증 방식으로, 클라이언트와 서버 간의 인증 정보를 안전하게 전달하기 위한 표준입니다. 주로 무상태(stateless) 방식의 인증을 지원하며, 확장성보안성을 동시에 보장하는 특징이 있습니다.

JWT 구조

JWT는 세 부분으로 구성된 문자열입니다:

  1. 헤더(Header): 어떤 알고리즘이 사용되었는지에 대한 정보(JWT 타입, 서명 알고리즘)를 포함.
  2. 페이로드(Payload): 토큰에 담길 사용자 정보나 **클레임(Claims)**을 포함. 클레임은 유저 아이디, 권한 정보 등 인증과 관련된 데이터를 나타냅니다.
  3. 서명(Signature): 헤더와 페이로드를 비밀 키로 서명하여, 데이터의 무결성과 신뢰성을 보장.

이 세 가지가 결합되어 Base64로 인코딩된 문자열로 토큰이 생성됩니다.

JWT의 주요 특징

  1. 무상태성(Stateless):
    • 서버가 사용자 인증 상태를 세션으로 유지할 필요가 없습니다. 대신, 클라이언트는 요청마다 JWT를 전송하며, 서버는 이 토큰을 검증해 사용자 상태를 확인합니다.
    • 이 덕분에 서버는 세션 저장소를 유지할 필요가 없고, 이를 통해 서버의 부하를 줄일 수 있습니다.
  2. 확장성(Scalability):
    • 분산 시스템에서 확장성이 중요한 경우, JWT가 특히 유리합니다. 서버 간에 세션 정보를 공유할 필요가 없기 때문에, 여러 서버가 동시에 클라이언트 요청을 처리할 수 있습니다.
    • 클라우드 환경이나 마이크로서비스 아키텍처에서 사용자가 다양한 서버에 요청을 보내더라도, JWT는 독립적으로 검증되므로 성능 저하 없이 확장 가능한 구조를 지원합니다.
  3. 보안성(Security):
    • 서명된 토큰이기 때문에, 서버는 클라이언트가 보낸 JWT가 변조되지 않았는지 확인할 수 있습니다. 또한, JWT는 암호화가 가능하여 민감한 정보를 보호할 수 있습니다.
    • 서명을 통해 인증된 데이터는 신뢰할 수 있지만, 토큰 자체는 기본적으로 공개적이므로, 민감한 정보를 담을 때는 암호화가 필요합니다.
  4. 무부하 인증:
    • 서버는 클라이언트가 요청을 보낼 때마다 토큰을 검증하기만 하면 됩니다. 이로 인해 세션 관리데이터베이스 조회와 같은 작업을 줄일 수 있어, 서버의 부하가 크게 감소합니다.

JWT의 동작 방식

  1. 로그인: 사용자가 처음 로그인하면 서버는 사용자의 정보를 기반으로 JWT를 생성하고, 비밀 키로 서명한 후 클라이언트에게 반환합니다.
  2. 요청: 클라이언트는 이후 요청을 보낼 때마다 JWT를 HTTP 헤더에 포함시켜 서버에 전송합니다.
  3. 검증: 서버는 요청을 받을 때 JWT의 서명을 검증하고, 토큰이 변조되지 않았음을 확인한 후, 페이로드의 정보를 바탕으로 사용자를 인증합니다.
  4. 응답: 서버는 인증이 성공하면 요청을 처리하고 응답을 보냅니다. 서버는 상태를 유지하지 않고, JWT가 요청마다 사용됩니다.

왜 JWT를 사용해야 하는가?

  1. 무상태성 지원: JWT는 상태를 유지하지 않으므로, 서버에 세션 저장소를 관리할 필요가 없고, 서버 간 정보를 공유하지 않아도 됩니다. 이는 분산 시스템이나 클라우드 환경에서 매우 유리합니다.
  2. 확장성 제공: 여러 서버나 로드 밸런싱 환경에서, 서버 간에 세션을 공유할 필요 없이 클라이언트가 JWT만 전송하면 되므로, 시스템이 수평적으로 확장되기 쉽습니다.
  3. 보안성: 서명된 토큰을 사용하여 데이터의 무결성과 진위를 검증할 수 있습니다. 이를 통해 중간에서의 변조를 방지하고, 불필요한 데이터베이스 조회나 세션 관리로 인한 보안 취약점을 줄일 수 있습니다.
  4. 클라이언트-서버 간의 통신 효율성: JWT는 인증 정보가 토큰에 포함되어 있어, 서버가 매번 사용자 정보를 조회하지 않아도 됩니다. 요청이 많을수록 서버의 성능이 개선되며, 클라이언트가 스스로 인증 상태를 관리할 수 있는 구조가 됩니다.
  5. 다양한 시스템 통합: JWT는 웹, 모바일, 데스크톱 등 다양한 플랫폼에서 사용 가능하며, 하나의 인증 토큰을 여러 시스템 간에 쉽게 통합할 수 있습니다. 특히 마이크로서비스 아키텍처에서, 각 서비스가 독립적으로 JWT를 검증하여 처리할 수 있습니다.

결론

JWT는 무상태성을 보장하면서도, 확장성보안성을 제공하는 인증 방식입니다. 분산 시스템이나 클라우드 기반의 서비스에서 서버 간 인증 정보를 공유할 필요 없이 효율적으로 인증할 수 있고, 이를 통해 서버 부하를 줄이면서도 안전한 인증을 구현할 수 있습니다. 마이크로서비스, 클라우드 환경에서는 특히 유용하며, 유지보수성과 성능 측면에서 뛰어난 장점을 제공합니다.

반응형

'JAVA > 자료구조' 카테고리의 다른 글

해시(Hash) 란?  (1) 2024.10.20

'JAVA/자료구조' Related Articles

티스토리툴바