목차
3.1 헤더
3.2 페이로드
3.3 시그니처
3.4 Base64URL
1. 다국어 지원
2. 무제한 프로젝트를 무료로 배포하세요
3. 비교할 수 없는 가성비
4. 단순화된 개발자 경험
5. 손쉬운 확장과 고성능
웹 프론트엔드 JS 튜토리얼 JWT(JSON 웹 토큰) 마스터하기: 심층 분석

JWT(JSON 웹 토큰) 마스터하기: 심층 분석

Jan 21, 2025 pm 08:37 PM

JSON 웹 토큰(JWT): 널리 사용되는 교차 도메인 인증 솔루션

이 글에서는 현재 가장 인기 있는 크로스 도메인 인증 솔루션인 JWT(JSON Web Token)의 원리와 사용법을 소개합니다.

1. 교차 도메인 인증의 과제

인터넷 서비스는 사용자 인증과 불가분의 관계입니다. 전통적인 프로세스는 다음과 같습니다.

  1. 사용자는 사용자 이름과 비밀번호를 서버로 보냅니다.
  2. 서버 인증이 성공하면 사용자 역할, 로그인 시간 및 기타 관련 데이터가 현재 세션에 저장됩니다.
  3. 서버는 사용자에게 session_id를 반환하고 이를 사용자의 쿠키에 씁니다.
  4. 사용자가 이후에 요청할 때마다 쿠키를 통해 session_id를 서버로 다시 보냅니다.
  5. 서버는 session_id를 받은 후 미리 저장된 데이터를 찾아 사용자를 식별합니다.

이 모델은 확장성이 좋지 않습니다. 단일 시스템 환경은 괜찮지만 서버 클러스터 또는 크로스 도메인 서비스 지향 아키텍처에서는 세션 데이터 공유가 필요하며 각 서버는 세션을 읽을 수 있습니다. 예를 들어, A사이트와 B사이트는 동일한 회사의 관련 서비스입니다. 사용자가 한 사이트에 로그인한 후 다른 사이트를 방문하면 자동으로 로그인됩니다. 한 가지 해결 방법은 세션 데이터를 유지하고 이를 데이터베이스나 다른 지속성 계층에 쓴 다음 각 서비스가 요청을 받은 후 지속성 계층에서 데이터를 요청하는 것입니다. 이 솔루션은 명확한 아키텍처를 가지고 있지만 작업 부하가 크고 지속성 계층 오류로 인해 단일 오류 지점이 발생합니다. 또 다른 옵션은 서버가 세션 데이터를 전혀 저장하지 않고 모든 데이터가 클라이언트에 저장되고 모든 요청과 함께 서버로 다시 전송된다는 것입니다. JWT는 이러한 접근 방식을 나타냅니다.

2. JWT의 원리

JWT의 원칙은 서버가 확인 후 JSON 개체를 생성하여 사용자에게 반환하는 것입니다. 예:

{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
로그인 후 복사
로그인 후 복사

나중에 사용자가 서버와 통신할 때 이 JSON 객체를 반환해야 하며, 서버는 이 객체를 기반으로 사용자의 신원을 완전히 판단합니다. 사용자가 데이터를 조작하는 것을 방지하기 위해 서버는 이 개체를 생성할 때 서명을 추가합니다(자세한 내용은 나중에 설명). 서버는 더 이상 세션 데이터를 저장하지 않습니다. 즉, 서버는 상태 비저장 상태가 되고 확장하기가 더 쉬워집니다.

3. JWT 데이터 구조

실제 JWT는 다음과 같습니다.

Mastering JWT (JSON Web Tokens): A Deep Dive

점(.)으로 세 부분으로 구분된 긴 문자열입니다. JWT 내부에는 줄 바꿈이 없습니다. 여기서 줄 바꿈은 단지 표시하기 쉽도록 하기 위한 것입니다. JWT의 세 부분은 다음과 같습니다.

  • 헤더
  • 페이로드
  • 서명

한 줄은 Header.Payload.Signature로 표현됩니다

Mastering JWT (JSON Web Tokens): A Deep Dive

아래 세 부분을 소개합니다.

3.1 헤더

헤더 부분은 JWT의 메타데이터를 설명하는 JSON 개체이며 일반적으로 다음과 같습니다.

{"alg": "HS256", "typ": "JWT"}
로그인 후 복사
로그인 후 복사

alg 속성은 서명 알고리즘을 나타내며 기본값은 HMAC SHA256(HS256)입니다. typ 속성은 이 토큰의 유형을 나타내며 JWT 토큰은 JWT로 균일하게 작성됩니다. 이 JSON 개체는 궁극적으로 Base64URL 알고리즘을 사용하여 문자열로 변환됩니다(자세한 내용은 아래 참조).

3.2 페이로드

페이로드 부분은 전송해야 하는 실제 데이터를 저장하는 데 사용되는 JSON 개체이기도 합니다. JWT는 7개의 공식 선택 필드를 정의합니다.

  • iss(발행자): 발행자
  • exp(만료 시간): 만료 시간
  • sub(제목): 제목
  • audi(청중):청중
  • nbf(Not Before): 유효 시간
  • iat(발급지):발급시간
  • jti(JWT ID): 일련번호

공식 필드 외에도 비공개 필드도 맞춤 설정할 수 있습니다. 예:

{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
로그인 후 복사
로그인 후 복사

JWT는 기본적으로 암호화되지 않으며 누구나 읽을 수 있으므로 이 섹션에 비밀 정보를 입력하지 마세요. 이 JSON 개체도 Base64URL 알고리즘을 사용하여 문자열로 변환해야 합니다.

3.3 시그니처

서명 부분은 데이터 변조를 방지하기 위해 사용되는 처음 두 부분의 서명입니다. 먼저 비밀을 지정해야 합니다. 이 비밀은 서버에서만 알 수 있으며 사용자에게 유출될 수 없습니다. 그런 다음 헤더에 지정된 서명 알고리즘(기본값은 HMAC SHA256)을 사용하여 다음 공식에 따라 서명을 생성합니다.

{"alg": "HS256", "typ": "JWT"}
로그인 후 복사
로그인 후 복사

서명을 계산한 후 Header, Payload, Signature 세 부분이 문자열로 결합되고 각 부분은 "점"(.)으로 구분되어 사용자에게 반환될 수 있습니다.

3.4 Base64URL

앞서 언급했듯이 Header와 Payload의 직렬화 알고리즘은 Base64URL입니다. 이 알고리즘은 기본적으로 Base64 알고리즘과 유사하지만 약간의 차이점이 있습니다. 토큰으로서 JWT는 때때로 URL(예: api.example.com/?token=xxx)에 배치될 수 있습니다. Base64의 세 문자인 / 및 =는 URL에서 특별한 의미를 가지므로 바꿔야 합니다. 생략되어 -로 대체되고, /는 _로 대체됩니다. 이것은 Base64URL 알고리즘입니다.

4. JWT 사용 방법

클라이언트는 서버에서 반환된 JWT를 받은 후 이를 Cookie 또는 localStorage에 저장할 수 있습니다. 클라이언트는 서버와 통신할 때마다 이 JWT를 전달해야 합니다. 쿠키에 저장되어 자동으로 전송될 수 있지만 도메인 전체에 걸쳐 전송될 수는 없습니다. 더 나은 접근 방식은 HTTP 요청 헤더의 Authorization 필드에 이를 넣는 것입니다.

권한: 무기명

또 다른 접근 방식은 도메인을 교차할 때 POST 요청 본문에 JWT를 넣는 것입니다.

5. JWT의 여러 특징

(1) JWT는 기본적으로 암호화되지 않지만 암호화할 수 있습니다. 원본 토큰이 생성된 후 키를 사용하여 다시 암호화할 수 있습니다.

(2) JWT가 암호화되지 않으면 비밀 데이터를 쓸 수 없습니다.

(3) JWT는 신원 확인뿐만 아니라 정보 교환에도 사용될 수 있습니다. JWT를 효과적으로 사용하면 서버가 데이터베이스를 쿼리하는 횟수를 줄일 수 있습니다.

(4) JWT의 가장 큰 단점은 서버가 세션 상태를 저장하지 않으며 사용 중에 토큰을 취소하거나 토큰의 권한을 변경할 수 없다는 것입니다. 즉, JWT가 발행되면 서버가 추가 로직을 배포하지 않는 한 만료될 때까지 유효합니다.

(5) JWT 자체에는 인증 정보가 포함되어 있으며, 일단 유출되면 누구나 토큰에 대한 모든 권한을 얻을 수 있습니다. 도난을 줄이기 위해서는 JWT의 유효기간을 상대적으로 짧게 설정해야 합니다. 더 중요한 일부 권한의 경우 사용자는 해당 권한을 사용할 때 다시 인증해야 합니다.

(6) 도난을 줄이기 위해 JWT는 HTTP 프로토콜을 사용하여 일반 텍스트로 전송해서는 안 되며, HTTPS 프로토콜을 사용하여 전송해야 합니다.

Leapcell: 최고의 서버리스 웹 호스팅 플랫폼

Mastering JWT (JSON Web Tokens): A Deep Dive

마지막으로 웹 서비스 배포를 위한 최고의 플랫폼을 추천합니다: Leapcell

1. 다국어 지원

  • JavaScript, Python, Go 또는 Rust로 개발하세요.

2. 무제한 프로젝트를 무료로 배포하세요

  • 사용한 만큼만 비용을 지불하세요. 요청이나 수수료가 없습니다.

3. 비교할 수 없는 가성비

  • 사용한 만큼 지불하고 유휴 수수료가 없습니다.
  • 예: $25는 평균 응답 시간이 60ms인 694만 개의 요청을 지원합니다.

4. 단순화된 개발자 경험

  • 직관적인 UI, 설정이 쉽습니다.
  • 완전 자동화된 CI/CD 파이프라인 및 GitOps 통합.
  • 실행 가능한 통찰력을 위한 실시간 지표 및 로깅.

5. 손쉬운 확장과 고성능

  • 높은 동시성을 쉽게 처리할 수 있는 자동 확장.
  • 운영 오버헤드가 없습니다. 구축에만 집중하세요.

Mastering JWT (JSON Web Tokens): A Deep Dive

문서에서 자세히 알아보세요!

Leapcell 트위터: https://www.php.cn/link/7884effb9452a6d7a7a79499ef854afd

위 내용은 JWT(JSON 웹 토큰) 마스터하기: 심층 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

Video Face Swap

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

프론트 엔드 열 용지 영수증에 대한 차량 코드 인쇄를 만나면 어떻게해야합니까? 프론트 엔드 열 용지 영수증에 대한 차량 코드 인쇄를 만나면 어떻게해야합니까? Apr 04, 2025 pm 02:42 PM

프론트 엔드 개발시 프론트 엔드 열지대 티켓 인쇄를위한 자주 묻는 질문과 솔루션, 티켓 인쇄는 일반적인 요구 사항입니다. 그러나 많은 개발자들이 구현하고 있습니다 ...

Demystifying JavaScript : 그것이하는 일과 중요한 이유 Demystifying JavaScript : 그것이하는 일과 중요한 이유 Apr 09, 2025 am 12:07 AM

JavaScript는 현대 웹 개발의 초석이며 주요 기능에는 이벤트 중심 프로그래밍, 동적 컨텐츠 생성 및 비동기 프로그래밍이 포함됩니다. 1) 이벤트 중심 프로그래밍을 사용하면 사용자 작업에 따라 웹 페이지가 동적으로 변경 될 수 있습니다. 2) 동적 컨텐츠 생성을 사용하면 조건에 따라 페이지 컨텐츠를 조정할 수 있습니다. 3) 비동기 프로그래밍은 사용자 인터페이스가 차단되지 않도록합니다. JavaScript는 웹 상호 작용, 단일 페이지 응용 프로그램 및 서버 측 개발에 널리 사용되며 사용자 경험 및 크로스 플랫폼 개발의 유연성을 크게 향상시킵니다.

누가 더 많은 파이썬이나 자바 스크립트를 지불합니까? 누가 더 많은 파이썬이나 자바 스크립트를 지불합니까? Apr 04, 2025 am 12:09 AM

기술 및 산업 요구에 따라 Python 및 JavaScript 개발자에 대한 절대 급여는 없습니다. 1. 파이썬은 데이터 과학 및 기계 학습에서 더 많은 비용을 지불 할 수 있습니다. 2. JavaScript는 프론트 엔드 및 풀 스택 개발에 큰 수요가 있으며 급여도 상당합니다. 3. 영향 요인에는 경험, 지리적 위치, 회사 규모 및 특정 기술이 포함됩니다.

Shiseido의 공식 웹 사이트와 같은 시차 스크롤 및 요소 애니메이션 효과를 달성하는 방법은 무엇입니까?
또는:
Shiseido의 공식 웹 사이트와 같은 페이지 스크롤과 함께 애니메이션 효과를 어떻게 달성 할 수 있습니까? Shiseido의 공식 웹 사이트와 같은 시차 스크롤 및 요소 애니메이션 효과를 달성하는 방법은 무엇입니까? 또는: Shiseido의 공식 웹 사이트와 같은 페이지 스크롤과 함께 애니메이션 효과를 어떻게 달성 할 수 있습니까? Apr 04, 2025 pm 05:36 PM

이 기사에서 시차 스크롤 및 요소 애니메이션 효과 실현에 대한 토론은 Shiseido 공식 웹 사이트 (https://www.shiseido.co.jp/sb/wonderland/)와 유사하게 달성하는 방법을 살펴볼 것입니다.

JavaScript의 진화 : 현재 동향과 미래 전망 JavaScript의 진화 : 현재 동향과 미래 전망 Apr 10, 2025 am 09:33 AM

JavaScript의 최신 트렌드에는 Typescript의 Rise, 현대 프레임 워크 및 라이브러리의 인기 및 WebAssembly의 적용이 포함됩니다. 향후 전망은보다 강력한 유형 시스템, 서버 측 JavaScript 개발, 인공 지능 및 기계 학습의 확장, IoT 및 Edge 컴퓨팅의 잠재력을 포함합니다.

JavaScript는 배우기가 어렵습니까? JavaScript는 배우기가 어렵습니까? Apr 03, 2025 am 12:20 AM

JavaScript를 배우는 것은 어렵지 않지만 어려운 일입니다. 1) 변수, 데이터 유형, 기능 등과 같은 기본 개념을 이해합니다. 2) 마스터 비동기 프로그래밍 및 이벤트 루프를 통해이를 구현하십시오. 3) DOM 운영을 사용하고 비동기 요청을 처리합니다. 4) 일반적인 실수를 피하고 디버깅 기술을 사용하십시오. 5) 성능을 최적화하고 모범 사례를 따르십시오.

JavaScript를 사용하여 동일한 ID와 동일한 ID로 배열 요소를 하나의 객체로 병합하는 방법은 무엇입니까? JavaScript를 사용하여 동일한 ID와 동일한 ID로 배열 요소를 하나의 객체로 병합하는 방법은 무엇입니까? Apr 04, 2025 pm 05:09 PM

동일한 ID로 배열 요소를 JavaScript의 하나의 객체로 병합하는 방법은 무엇입니까? 데이터를 처리 할 때 종종 동일한 ID를 가질 필요가 있습니다 ...

프론트 엔드 개발에서 VSCODE와 유사한 패널 드래그 앤 드롭 조정 기능을 구현하는 방법은 무엇입니까? 프론트 엔드 개발에서 VSCODE와 유사한 패널 드래그 앤 드롭 조정 기능을 구현하는 방법은 무엇입니까? Apr 04, 2025 pm 02:06 PM

프론트 엔드에서 VSCODE와 같은 패널 드래그 앤 드롭 조정 기능의 구현을 탐색하십시오. 프론트 엔드 개발에서 VSCODE와 같은 구현 방법 ...

See all articles