Golang의 JWT 토큰: 보안 API를 위한 개발자 가이드

소개

현대 웹 개발에서는 안전하고 확장 가능한 인증이 매우 중요합니다. JWT(JSON 웹 토큰)는 이러한 목표를 달성하기 위한 표준 방법이 되었습니다. 이번 블로그 게시물에서는 JWT가 무엇인지, 어떻게 작동하는지, Golang에서 구현하는 방법을 살펴보겠습니다.

JWT란 무엇인가요?

JSON 웹 토큰(JWT)은 두 당사자 간에 소유권 주장을 안전하게 전송하기 위해 URL에 안전한 간결한 주장 표현 방법입니다. 일반적으로 API 및 분산 시스템에서 사용자를 인증하고 권한을 부여하는 데 사용됩니다.

JWT의 구조

JWT는 점(.)으로 구분된 세 부분으로 구성됩니다.

<code>Header.Payload.Signature</code>

예:

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.reGQzG3OKdoIMWLDKOZ4TICJit3EW69cQE72E2CfzRE</code>

각 부분은 다음과 같습니다.

1. 헤더: 토큰 유형(JWT) 및 서명 알고리즘(HS256)을 지정합니다.

<code>{
  "alg": "HS256",
  "typ": "JWT"
}</code>

2. 페이로드: 클레임(ID, 역할 또는 이름과 같은 사용자 데이터)을 포함합니다.

<code>{
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true,
    "iat": 1516239022
}</code>

3. 서명: 암호화 서명 프로세스를 사용하여 토큰의 무결성을 보장합니다. 이에 대해 자세히 살펴보겠습니다.

서명 작성 방법:

• 인코딩된 헤더와 페이로드 연결:

<code>  base64UrlEncode(header) + "." + base64UrlEncode(payload)</code>

• 결과에 서명:
  • 비밀 키 또는 개인 키를 사용하는 암호화 서명 알고리즘(예: HMACSHA256, RS256)을 사용합니다.
• 추가 서명: 최종 JWT는
이 됩니다.

<code>  header.payload.signature</code>

JWT 작동 방식

1. 클라이언트는 로그인 자격 증명을 서버로 보냅니다.
2. 유효한 경우 서버는 JWT를 생성하여 클라이언트에 반환합니다.
3. 클라이언트는 JWT를 저장합니다(예: localStorage 또는 쿠키).
4. 모든 요청에 ​​대해 클라이언트는 Authorization 헤더에 JWT를 포함합니다: Authorization: Bearer
5. 서버는 모든 요청에 ​​대해 JWT의 유효성을 검사합니다.
   • 수신된 헤더와 페이로드를 사용하여 서명을 다시 계산합니다.
   • 다시 계산된 서명과 수신된 서명을 비교합니다.

Golang에서 JWT 구현

Golang 개발자는 뛰어난 golang-jwt/jwt 라이브러리를 활용하여 JWT를 처리할 수 있습니다. 이 라이브러리는 JWT 생성, 서명 및 유효성 검사를 위한 강력한 기능을 제공합니다. 여기에서 찾을 수 있습니다.

그러나 JWT를 관리하려면 서명 방법 구성, 토큰 구문 분석, 청구 유효성 검사와 같은 반복적인 작업이 필요한 경우가 많습니다. 이를 단순화하기 위해 golang-jwt의 기능을 래핑하는 사용자 정의 패키지를 작성했습니다. 여기에서 내 패키지를 볼 수 있습니다. 다음은 사용자 정의 JWT 패키지를 사용하는 방법의 예입니다.

<code class="language-go">package main

import (
    "context"
    "fmt"
    "log"
    "time"

    "github.com/golang-jwt/jwt/v5"
    jwtutil "github.com/kittipat1413/go-common/util/jwt"
)

type MyCustomClaims struct {
    jwt.RegisteredClaims
    UserID string `json:"uid"`
}

func main() {
    ctx := context.Background()
    signingKey := []byte("super-secret-key")
    manager, err := jwtutil.NewJWTManager(jwtutil.HS256, signingKey)
    if err != nil {
        log.Fatalf("Failed to create JWTManager: %v", err)
    }

    // Prepare custom claims
    claims := &MyCustomClaims{
        RegisteredClaims: jwt.RegisteredClaims{
            ExpiresAt: jwt.NewNumericDate(time.Now().Add(15 * time.Minute)),
            Issuer:    "example-HS256",
            Subject:   "example-subject",
        },
        UserID: "abc123",
    }

    // Create the token
    tokenStringHS256, err := manager.CreateToken(ctx, claims)
    if err != nil {
        log.Fatalf("Failed to create token: %v", err)
    }
    fmt.Println("Generated Token:", tokenStringHS256)

    // Validate the token
    parsedClaims := &MyCustomClaims{}
    err = manager.ParseAndValidateToken(ctx, tokenStringHS256, parsedClaims)
    if err != nil {
        log.Fatalf("Failed to validate token: %v", err)
    }

    fmt.Printf("Token is valid! UserID: %s, Issuer: %s\n", parsedClaims.UserID, parsedClaims.Issuer)
}</code>

여기에서 내 패키지의 전체 구현 및 문서를 GitHub에서 찾아볼 수 있습니다.

JWT 모범 사례

1. HTTPS 사용: 항상 보안 채널을 통해 토큰을 전송하세요.
2. 만료 시간 설정: 토큰 남용을 제한하려면 합리적인 경험치를 포함하세요.
3. 키 보호: 환경 변수나 키 관리자를 사용하여 키를 안전하게 저장하세요.
4. 페이로드에 민감한 데이터를 사용하지 마세요. 중요하지 않은 정보만 포함하세요.
5. 새로고침 토큰 사용: 세션을 안전하게 확장하려면 JWT를 새로고침 토큰과 페어링하세요.

결론 ?

JWT는 안전한 상태 비저장 인증을 위한 강력한 도구입니다. 서명은 토큰의 무결성과 신뢰성을 보장하므로 JWT는 API 및 분산 시스템에 이상적입니다. jwt-go와 같은 라이브러리를 사용하면 Golang 프로젝트에서 JWT를 쉽게 구현할 수 있습니다.

😄 나의 일을 응원해주세요 🔥

제 작품이 마음에 드셨다면 커피 한 잔 사주세요! 귀하의 지원은 제가 계속해서 귀중한 콘텐츠를 만들고 지식을 공유하는 데 도움이 됩니다. 🔥

위 내용은 Golang의 JWT 토큰: 보안 API를 위한 개발자 가이드의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!