JWT(JSON 웹 토큰) 마스터하기: 심층 분석
JSON 웹 토큰(JWT): 널리 사용되는 교차 도메인 인증 솔루션
이 글에서는 현재 가장 인기 있는 크로스 도메인 인증 솔루션인 JWT(JSON Web Token)의 원리와 사용법을 소개합니다.
1. 교차 도메인 인증의 과제
인터넷 서비스는 사용자 인증과 불가분의 관계입니다. 전통적인 프로세스는 다음과 같습니다.
- 사용자는 사용자 이름과 비밀번호를 서버로 보냅니다.
- 서버 인증이 성공하면 사용자 역할, 로그인 시간 및 기타 관련 데이터가 현재 세션에 저장됩니다.
- 서버는 사용자에게 session_id를 반환하고 이를 사용자의 쿠키에 씁니다.
- 사용자가 이후에 요청할 때마다 쿠키를 통해 session_id를 서버로 다시 보냅니다.
- 서버는 session_id를 받은 후 미리 저장된 데이터를 찾아 사용자를 식별합니다.
이 모델은 확장성이 좋지 않습니다. 단일 시스템 환경은 괜찮지만 서버 클러스터 또는 크로스 도메인 서비스 지향 아키텍처에서는 세션 데이터 공유가 필요하며 각 서버는 세션을 읽을 수 있습니다. 예를 들어, A사이트와 B사이트는 동일한 회사의 관련 서비스입니다. 사용자가 한 사이트에 로그인한 후 다른 사이트를 방문하면 자동으로 로그인됩니다. 한 가지 해결 방법은 세션 데이터를 유지하고 이를 데이터베이스나 다른 지속성 계층에 쓴 다음 각 서비스가 요청을 받은 후 지속성 계층에서 데이터를 요청하는 것입니다. 이 솔루션은 명확한 아키텍처를 가지고 있지만 작업 부하가 크고 지속성 계층 오류로 인해 단일 오류 지점이 발생합니다. 또 다른 옵션은 서버가 세션 데이터를 전혀 저장하지 않고 모든 데이터가 클라이언트에 저장되고 모든 요청과 함께 서버로 다시 전송된다는 것입니다. JWT는 이러한 접근 방식을 나타냅니다.
2. JWT의 원리
JWT의 원칙은 서버가 확인 후 JSON 개체를 생성하여 사용자에게 반환하는 것입니다. 예:
{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
나중에 사용자가 서버와 통신할 때 이 JSON 객체를 반환해야 하며, 서버는 이 객체를 기반으로 사용자의 신원을 완전히 판단합니다. 사용자가 데이터를 조작하는 것을 방지하기 위해 서버는 이 개체를 생성할 때 서명을 추가합니다(자세한 내용은 나중에 설명). 서버는 더 이상 세션 데이터를 저장하지 않습니다. 즉, 서버는 상태 비저장 상태가 되고 확장하기가 더 쉬워집니다.
3. JWT 데이터 구조
실제 JWT는 다음과 같습니다.
점(.)으로 세 부분으로 구분된 긴 문자열입니다. JWT 내부에는 줄 바꿈이 없습니다. 여기서 줄 바꿈은 단지 표시하기 쉽도록 하기 위한 것입니다. JWT의 세 부분은 다음과 같습니다.
- 헤더
- 페이로드
- 서명
한 줄은 Header.Payload.Signature로 표현됩니다
아래 세 부분을 소개합니다.
3.1 헤더
헤더 부분은 JWT의 메타데이터를 설명하는 JSON 개체이며 일반적으로 다음과 같습니다.
{"alg": "HS256", "typ": "JWT"}
alg 속성은 서명 알고리즘을 나타내며 기본값은 HMAC SHA256(HS256)입니다. typ 속성은 이 토큰의 유형을 나타내며 JWT 토큰은 JWT로 균일하게 작성됩니다. 이 JSON 개체는 궁극적으로 Base64URL 알고리즘을 사용하여 문자열로 변환됩니다(자세한 내용은 아래 참조).
3.2 페이로드
페이로드 부분은 전송해야 하는 실제 데이터를 저장하는 데 사용되는 JSON 개체이기도 합니다. JWT는 7개의 공식 선택 필드를 정의합니다.
- iss(발행자): 발행자
- exp(만료 시간): 만료 시간
- sub(제목): 제목
- audi(청중):청중
- nbf(Not Before): 유효 시간
- iat(발급지):발급시간
- jti(JWT ID): 일련번호
공식 필드 외에도 비공개 필드도 맞춤 설정할 수 있습니다. 예:
{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
JWT는 기본적으로 암호화되지 않으며 누구나 읽을 수 있으므로 이 섹션에 비밀 정보를 입력하지 마세요. 이 JSON 개체도 Base64URL 알고리즘을 사용하여 문자열로 변환해야 합니다.
3.3 시그니처
서명 부분은 데이터 변조를 방지하기 위해 사용되는 처음 두 부분의 서명입니다. 먼저 비밀을 지정해야 합니다. 이 비밀은 서버에서만 알 수 있으며 사용자에게 유출될 수 없습니다. 그런 다음 헤더에 지정된 서명 알고리즘(기본값은 HMAC SHA256)을 사용하여 다음 공식에 따라 서명을 생성합니다.
{"alg": "HS256", "typ": "JWT"}
서명을 계산한 후 Header, Payload, Signature 세 부분이 문자열로 결합되고 각 부분은 "점"(.)으로 구분되어 사용자에게 반환될 수 있습니다.
3.4 Base64URL
앞서 언급했듯이 Header와 Payload의 직렬화 알고리즘은 Base64URL입니다. 이 알고리즘은 기본적으로 Base64 알고리즘과 유사하지만 약간의 차이점이 있습니다. 토큰으로서 JWT는 때때로 URL(예: api.example.com/?token=xxx)에 배치될 수 있습니다. Base64의 세 문자인 / 및 =는 URL에서 특별한 의미를 가지므로 바꿔야 합니다. 생략되어 -로 대체되고, /는 _로 대체됩니다. 이것은 Base64URL 알고리즘입니다.
4. JWT 사용 방법
클라이언트는 서버에서 반환된 JWT를 받은 후 이를 Cookie 또는 localStorage에 저장할 수 있습니다. 클라이언트는 서버와 통신할 때마다 이 JWT를 전달해야 합니다. 쿠키에 저장되어 자동으로 전송될 수 있지만 도메인 전체에 걸쳐 전송될 수는 없습니다. 더 나은 접근 방식은 HTTP 요청 헤더의 Authorization 필드에 이를 넣는 것입니다.
권한: 무기명
또 다른 접근 방식은 도메인을 교차할 때 POST 요청 본문에 JWT를 넣는 것입니다.
5. JWT의 여러 특징
(1) JWT는 기본적으로 암호화되지 않지만 암호화할 수 있습니다. 원본 토큰이 생성된 후 키를 사용하여 다시 암호화할 수 있습니다.
(2) JWT가 암호화되지 않으면 비밀 데이터를 쓸 수 없습니다.
(3) JWT는 신원 확인뿐만 아니라 정보 교환에도 사용될 수 있습니다. JWT를 효과적으로 사용하면 서버가 데이터베이스를 쿼리하는 횟수를 줄일 수 있습니다.
(4) JWT의 가장 큰 단점은 서버가 세션 상태를 저장하지 않으며 사용 중에 토큰을 취소하거나 토큰의 권한을 변경할 수 없다는 것입니다. 즉, JWT가 발행되면 서버가 추가 로직을 배포하지 않는 한 만료될 때까지 유효합니다.
(5) JWT 자체에는 인증 정보가 포함되어 있으며, 일단 유출되면 누구나 토큰에 대한 모든 권한을 얻을 수 있습니다. 도난을 줄이기 위해서는 JWT의 유효기간을 상대적으로 짧게 설정해야 합니다. 더 중요한 일부 권한의 경우 사용자는 해당 권한을 사용할 때 다시 인증해야 합니다.
(6) 도난을 줄이기 위해 JWT는 HTTP 프로토콜을 사용하여 일반 텍스트로 전송해서는 안 되며, HTTPS 프로토콜을 사용하여 전송해야 합니다.
Leapcell: 최고의 서버리스 웹 호스팅 플랫폼
마지막으로 웹 서비스 배포를 위한 최고의 플랫폼을 추천합니다: Leapcell
1. 다국어 지원
- JavaScript, Python, Go 또는 Rust로 개발하세요.
2. 무제한 프로젝트를 무료로 배포하세요
- 사용한 만큼만 비용을 지불하세요. 요청이나 수수료가 없습니다.
3. 비교할 수 없는 가성비
- 사용한 만큼 지불하고 유휴 수수료가 없습니다.
- 예: $25는 평균 응답 시간이 60ms인 694만 개의 요청을 지원합니다.
4. 단순화된 개발자 경험
- 직관적인 UI, 설정이 쉽습니다.
- 완전 자동화된 CI/CD 파이프라인 및 GitOps 통합.
- 실행 가능한 통찰력을 위한 실시간 지표 및 로깅.
5. 손쉬운 확장과 고성능
- 높은 동시성을 쉽게 처리할 수 있는 자동 확장.
- 운영 오버헤드가 없습니다. 구축에만 집중하세요.
문서에서 자세히 알아보세요!
Leapcell 트위터: https://www.php.cn/link/7884effb9452a6d7a7a79499ef854afd
위 내용은 JWT(JSON 웹 토큰) 마스터하기: 심층 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

핫 AI 도구

Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool
무료로 이미지를 벗다

Clothoff.io
AI 옷 제거제

Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

인기 기사

뜨거운 도구

메모장++7.3.1
사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경

드림위버 CS6
시각적 웹 개발 도구

SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)

Python은 부드러운 학습 곡선과 간결한 구문으로 초보자에게 더 적합합니다. JavaScript는 가파른 학습 곡선과 유연한 구문으로 프론트 엔드 개발에 적합합니다. 1. Python Syntax는 직관적이며 데이터 과학 및 백엔드 개발에 적합합니다. 2. JavaScript는 유연하며 프론트 엔드 및 서버 측 프로그래밍에서 널리 사용됩니다.

C/C에서 JavaScript로 전환하려면 동적 타이핑, 쓰레기 수집 및 비동기 프로그래밍으로 적응해야합니다. 1) C/C는 수동 메모리 관리가 필요한 정적으로 입력 한 언어이며 JavaScript는 동적으로 입력하고 쓰레기 수집이 자동으로 처리됩니다. 2) C/C를 기계 코드로 컴파일 해야하는 반면 JavaScript는 해석 된 언어입니다. 3) JavaScript는 폐쇄, 프로토 타입 체인 및 약속과 같은 개념을 소개하여 유연성과 비동기 프로그래밍 기능을 향상시킵니다.

웹 개발에서 JavaScript의 주요 용도에는 클라이언트 상호 작용, 양식 검증 및 비동기 통신이 포함됩니다. 1) DOM 운영을 통한 동적 컨텐츠 업데이트 및 사용자 상호 작용; 2) 사용자가 사용자 경험을 향상시키기 위해 데이터를 제출하기 전에 클라이언트 확인이 수행됩니다. 3) 서버와의 진실한 통신은 Ajax 기술을 통해 달성됩니다.

실제 세계에서 JavaScript의 응용 프로그램에는 프론트 엔드 및 백엔드 개발이 포함됩니다. 1) DOM 운영 및 이벤트 처리와 관련된 TODO 목록 응용 프로그램을 구축하여 프론트 엔드 애플리케이션을 표시합니다. 2) Node.js를 통해 RESTFULAPI를 구축하고 Express를 통해 백엔드 응용 프로그램을 시연하십시오.

보다 효율적인 코드를 작성하고 성능 병목 현상 및 최적화 전략을 이해하는 데 도움이되기 때문에 JavaScript 엔진이 내부적으로 작동하는 방식을 이해하는 것은 개발자에게 중요합니다. 1) 엔진의 워크 플로에는 구문 분석, 컴파일 및 실행; 2) 실행 프로세스 중에 엔진은 인라인 캐시 및 숨겨진 클래스와 같은 동적 최적화를 수행합니다. 3) 모범 사례에는 글로벌 변수를 피하고 루프 최적화, Const 및 Lets 사용 및 과도한 폐쇄 사용을 피하는 것이 포함됩니다.

Python과 JavaScript는 커뮤니티, 라이브러리 및 리소스 측면에서 고유 한 장점과 단점이 있습니다. 1) Python 커뮤니티는 친절하고 초보자에게 적합하지만 프론트 엔드 개발 리소스는 JavaScript만큼 풍부하지 않습니다. 2) Python은 데이터 과학 및 기계 학습 라이브러리에서 강력하며 JavaScript는 프론트 엔드 개발 라이브러리 및 프레임 워크에서 더 좋습니다. 3) 둘 다 풍부한 학습 리소스를 가지고 있지만 Python은 공식 문서로 시작하는 데 적합하지만 JavaScript는 MDNWebDocs에서 더 좋습니다. 선택은 프로젝트 요구와 개인적인 이익을 기반으로해야합니다.

개발 환경에서 Python과 JavaScript의 선택이 모두 중요합니다. 1) Python의 개발 환경에는 Pycharm, Jupyternotebook 및 Anaconda가 포함되어 있으며 데이터 과학 및 빠른 프로토 타이핑에 적합합니다. 2) JavaScript의 개발 환경에는 Node.js, VScode 및 Webpack이 포함되어 있으며 프론트 엔드 및 백엔드 개발에 적합합니다. 프로젝트 요구에 따라 올바른 도구를 선택하면 개발 효율성과 프로젝트 성공률이 향상 될 수 있습니다.

C와 C는 주로 통역사와 JIT 컴파일러를 구현하는 데 사용되는 JavaScript 엔진에서 중요한 역할을합니다. 1) C는 JavaScript 소스 코드를 구문 분석하고 추상 구문 트리를 생성하는 데 사용됩니다. 2) C는 바이트 코드 생성 및 실행을 담당합니다. 3) C는 JIT 컴파일러를 구현하고 런타임에 핫스팟 코드를 최적화하고 컴파일하며 JavaScript의 실행 효율을 크게 향상시킵니다.
