JWT(JSON 웹 토큰) 마스터하기: 심층 분석

JSON 웹 토큰(JWT): 널리 사용되는 교차 도메인 인증 솔루션

이 글에서는 현재 가장 인기 있는 크로스 도메인 인증 솔루션인 JWT(JSON Web Token)의 원리와 사용법을 소개합니다.

1. 교차 도메인 인증의 과제

인터넷 서비스는 사용자 인증과 불가분의 관계입니다. 전통적인 프로세스는 다음과 같습니다.

1. 사용자는 사용자 이름과 비밀번호를 서버로 보냅니다.
2. 서버 인증이 성공하면 사용자 역할, 로그인 시간 및 기타 관련 데이터가 현재 세션에 저장됩니다.
3. 서버는 사용자에게 session_id를 반환하고 이를 사용자의 쿠키에 씁니다.
4. 사용자가 이후에 요청할 때마다 쿠키를 통해 session_id를 서버로 다시 보냅니다.
5. 서버는 session_id를 받은 후 미리 저장된 데이터를 찾아 사용자를 식별합니다.

이 모델은 확장성이 좋지 않습니다. 단일 시스템 환경은 괜찮지만 서버 클러스터 또는 크로스 도메인 서비스 지향 아키텍처에서는 세션 데이터 공유가 필요하며 각 서버는 세션을 읽을 수 있습니다. 예를 들어, A사이트와 B사이트는 동일한 회사의 관련 서비스입니다. 사용자가 한 사이트에 로그인한 후 다른 사이트를 방문하면 자동으로 로그인됩니다. 한 가지 해결 방법은 세션 데이터를 유지하고 이를 데이터베이스나 다른 지속성 계층에 쓴 다음 각 서비스가 요청을 받은 후 지속성 계층에서 데이터를 요청하는 것입니다. 이 솔루션은 명확한 아키텍처를 가지고 있지만 작업 부하가 크고 지속성 계층 오류로 인해 단일 오류 지점이 발생합니다. 또 다른 옵션은 서버가 세션 데이터를 전혀 저장하지 않고 모든 데이터가 클라이언트에 저장되고 모든 요청과 함께 서버로 다시 전송된다는 것입니다. JWT는 이러한 접근 방식을 나타냅니다.

2. JWT의 원리

JWT의 원칙은 서버가 확인 후 JSON 개체를 생성하여 사용자에게 반환하는 것입니다. 예:

{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}

나중에 사용자가 서버와 통신할 때 이 JSON 객체를 반환해야 하며, 서버는 이 객체를 기반으로 사용자의 신원을 완전히 판단합니다. 사용자가 데이터를 조작하는 것을 방지하기 위해 서버는 이 개체를 생성할 때 서명을 추가합니다(자세한 내용은 나중에 설명). 서버는 더 이상 세션 데이터를 저장하지 않습니다. 즉, 서버는 상태 비저장 상태가 되고 확장하기가 더 쉬워집니다.

3. JWT 데이터 구조

실제 JWT는 다음과 같습니다.

점(.)으로 세 부분으로 구분된 긴 문자열입니다. JWT 내부에는 줄 바꿈이 없습니다. 여기서 줄 바꿈은 단지 표시하기 쉽도록 하기 위한 것입니다. JWT의 세 부분은 다음과 같습니다.

• 헤더
• 페이로드
• 서명

한 줄은 Header.Payload.Signature로 표현됩니다

아래 세 부분을 소개합니다.

3.1 헤더

헤더 부분은 JWT의 메타데이터를 설명하는 JSON 개체이며 일반적으로 다음과 같습니다.

{"alg": "HS256", "typ": "JWT"}

alg 속성은 서명 알고리즘을 나타내며 기본값은 HMAC SHA256(HS256)입니다. typ 속성은 이 토큰의 유형을 나타내며 JWT 토큰은 JWT로 균일하게 작성됩니다. 이 JSON 개체는 궁극적으로 Base64URL 알고리즘을 사용하여 문자열로 변환됩니다(자세한 내용은 아래 참조).

3.2 페이로드

페이로드 부분은 전송해야 하는 실제 데이터를 저장하는 데 사용되는 JSON 개체이기도 합니다. JWT는 7개의 공식 선택 필드를 정의합니다.

• iss(발행자): 발행자
• exp(만료 시간): 만료 시간
• sub(제목): 제목
• audi(청중):청중
• nbf(Not Before): 유효 시간
• iat(발급지)：발급시간
• jti(JWT ID): 일련번호

공식 필드 외에도 비공개 필드도 맞춤 설정할 수 있습니다. 예:

{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}

JWT는 기본적으로 암호화되지 않으며 누구나 읽을 수 있으므로 이 섹션에 비밀 정보를 입력하지 마세요. 이 JSON 개체도 Base64URL 알고리즘을 사용하여 문자열로 변환해야 합니다.

3.3 시그니처

서명 부분은 데이터 변조를 방지하기 위해 사용되는 처음 두 부분의 서명입니다. 먼저 비밀을 지정해야 합니다. 이 비밀은 서버에서만 알 수 있으며 사용자에게 유출될 수 없습니다. 그런 다음 헤더에 지정된 서명 알고리즘(기본값은 HMAC SHA256)을 사용하여 다음 공식에 따라 서명을 생성합니다.

{"alg": "HS256", "typ": "JWT"}

서명을 계산한 후 Header, Payload, Signature 세 부분이 문자열로 결합되고 각 부분은 "점"(.)으로 구분되어 사용자에게 반환될 수 있습니다.

3.4 Base64URL

앞서 언급했듯이 Header와 Payload의 직렬화 알고리즘은 Base64URL입니다. 이 알고리즘은 기본적으로 Base64 알고리즘과 유사하지만 약간의 차이점이 있습니다. 토큰으로서 JWT는 때때로 URL(예: api.example.com/?token=xxx)에 배치될 수 있습니다. Base64의 세 문자인 / 및 =는 URL에서 특별한 의미를 가지므로 바꿔야 합니다. 생략되어 -로 대체되고, /는 _로 대체됩니다. 이것은 Base64URL 알고리즘입니다.

4. JWT 사용 방법

클라이언트는 서버에서 반환된 JWT를 받은 후 이를 Cookie 또는 localStorage에 저장할 수 있습니다. 클라이언트는 서버와 통신할 때마다 이 JWT를 전달해야 합니다. 쿠키에 저장되어 자동으로 전송될 수 있지만 도메인 전체에 걸쳐 전송될 수는 없습니다. 더 나은 접근 방식은 HTTP 요청 헤더의 Authorization 필드에 이를 넣는 것입니다.

권한: 무기명

또 다른 접근 방식은 도메인을 교차할 때 POST 요청 본문에 JWT를 넣는 것입니다.

5. JWT의 여러 특징

(1) JWT는 기본적으로 암호화되지 않지만 암호화할 수 있습니다. 원본 토큰이 생성된 후 키를 사용하여 다시 암호화할 수 있습니다.

(2) JWT가 암호화되지 않으면 비밀 데이터를 쓸 수 없습니다.

(3) JWT는 신원 확인뿐만 아니라 정보 교환에도 사용될 수 있습니다. JWT를 효과적으로 사용하면 서버가 데이터베이스를 쿼리하는 횟수를 줄일 수 있습니다.

(4) JWT의 가장 큰 단점은 서버가 세션 상태를 저장하지 않으며 사용 중에 토큰을 취소하거나 토큰의 권한을 변경할 수 없다는 것입니다. 즉, JWT가 발행되면 서버가 추가 로직을 배포하지 않는 한 만료될 때까지 유효합니다.

(5) JWT 자체에는 인증 정보가 포함되어 있으며, 일단 유출되면 누구나 토큰에 대한 모든 권한을 얻을 수 있습니다. 도난을 줄이기 위해서는 JWT의 유효기간을 상대적으로 짧게 설정해야 합니다. 더 중요한 일부 권한의 경우 사용자는 해당 권한을 사용할 때 다시 인증해야 합니다.

(6) 도난을 줄이기 위해 JWT는 HTTP 프로토콜을 사용하여 일반 텍스트로 전송해서는 안 되며, HTTPS 프로토콜을 사용하여 전송해야 합니다.

Leapcell: 최고의 서버리스 웹 호스팅 플랫폼

마지막으로 웹 서비스 배포를 위한 최고의 플랫폼을 추천합니다: Leapcell

1. 다국어 지원

• JavaScript, Python, Go 또는 Rust로 개발하세요.

2. 무제한 프로젝트를 무료로 배포하세요

• 사용한 만큼만 비용을 지불하세요. 요청이나 수수료가 없습니다.

3. 비교할 수 없는 가성비

• 사용한 만큼 지불하고 유휴 수수료가 없습니다.
• 예: $25는 평균 응답 시간이 60ms인 694만 개의 요청을 지원합니다.

4. 단순화된 개발자 경험

• 직관적인 UI, 설정이 쉽습니다.
• 완전 자동화된 CI/CD 파이프라인 및 GitOps 통합.
• 실행 가능한 통찰력을 위한 실시간 지표 및 로깅.

5. 손쉬운 확장과 고성능

• 높은 동시성을 쉽게 처리할 수 있는 자동 확장.
• 운영 오버헤드가 없습니다. 구축에만 집중하세요.

문서에서 자세히 알아보세요!

Leapcell 트위터: https://www.php.cn/link/7884effb9452a6d7a7a79499ef854afd

위 내용은 JWT(JSON 웹 토큰) 마스터하기: 심층 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!