🔙뒤로가기

JWT는 세 가지 부분으로 이루어져있다.

1. Header : 토큰 타입과 해싱 알고리즘 정보를 가지고 있다.
   • 헤더는 JWT의 타입(일반적으로 "JWT")과 사용된 해싱 알고리즘(예: HS256 또는 RS256)을 포함하고 있다. 이 정보는 Base64Url로 인코딩되어 JWT의 첫 번째 부분을 형성한다.
2. Payload : 필요한 클레임 정보를 갖고 있다.
   • 페이로드는 클레임을 포함하고 있다. 클레임은 엔티티(일반적으로 사용자)와 추가 정보를 나타낸다. 클레임에는 등록된 클레임, 공개 클레임, 비공개 클레임이 있다. 이 정보도 Base64Url로 인코딩되어 JWT의 두 번째 부분을 형성한다.
3. Signature : 토큰의 무결성을 보장한다.
   • 시그니처는 토큰이 변조되지 않았음을 확인하는데 사용된다. 헤더와 페이로드를 Base64Url 인코딩한 뒤, 이 두 문자열을 점(.)으로 연결하고, 이 결과 문자열에 해싱 알고리즘을 적용하여 생성한다. 이 과정에서 '비밀'(서버에서 알고 있는)을 사용하므로, 토큰이 중간에 변조되었는지 판단할 수 있다.

JWT 토큰의 발급 과정

1. 사용자 인증

사용자는 자신의 자격 증명(예: 사용자명과 비밀번호)을 사용하여 로그인 요청을 보낸다.

// HTTP POST 요청을 처리하는 메소드
// "/login" 엔드포인트에 로그인 요청이 오면 이 메소드가 호출됨
@PostMapping("/login")
public ResponseEntity<?> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) {

    // 사용자가 입력한 username과 password로 Authentication 객체를 생성
    // 이 객체는 Spring Security에서 제공하는 인증 메커니즘이 사용함
    Authentication authentication = authenticationManager.authenticate(
            new UsernamePasswordAuthenticationToken(
                    loginRequest.getUsernameOrEmail(),  // 사용자 입력 username
                    loginRequest.getPassword()  // 사용자 입력 password
            )
    );

    // 인증된 Authentication 객체를 SecurityContextHolder에 설정
    // SecurityContextHolder는 현재 사용자의 보안 컨텍스트를 보관하는데 사용됨
    SecurityContextHolder.getContext().setAuthentication(authentication);

    // JWT 토큰 생성을 위해 tokenProvider의 generateToken 메소드를 호출,
    // 인증된 사용자에 대한 JWT를 생성
    String jwt = tokenProvider.generateToken(authentication);

    // 생성된 JWT를 응답으로 반환
    return ResponseEntity.ok(new JwtAuthenticationResponse(jwt));
}

1. JWT 생성

서버는 사용자의 자격 증명을 확인하고, 이를 기반으로 JWT를 생성한다. JWT 생성은 일반적으로 서버의 비밀 키(secret key)를사용하여 이루어진다.

// JWT 토큰을 생성하는 메소드
public String generateToken(Authentication authentication) {

    // Authentication 객체에서 사용자 정보를 가져옴
    UserPrincipal userPrincipal = (UserPrincipal) authentication.getPrincipal();

    // 현재 시간을 가져오고,
    Date now = new Date();

    // 토큰의 유효기간을 설정
    Date expiryDate = new Date(now.getTime() + jwtExpirationInMs);

    // JWT 빌더를 사용해 JWT 토큰을 생성
    // Subject에는 사용자 ID를, 발행시간과 만료시간을 설정
    // 이후 서버의 비밀 키를 사용해 서명함
    return Jwts.builder()
            .setSubject(Long.toString(userPrincipal.getId()))  // 사용자 ID
            .setIssuedAt(new Date())  // 발행 시간
            .setExpiration(expiryDate)  // 만료 시간
            .signWith(SignatureAlgorithm.HS512, jwtSecret)  // 서명
            .compact();
}

1. JWT 반환

// 생성된 JWT를 반환하는 과정
public ResponseEntity<?> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) {
    // ... 생략 ...

    // 생성된 JWT를 HTTP 응답 바디에 담아 반환
    // JwtAuthenticationResponse는 JWT를 담는 클래스
    return ResponseEntity.ok(new JwtAuthenticationResponse(jwt));
}

생성된 JWT는 사용자에게 반환된다. 이 토큰은 일반적으로 HTTP 응답 헤더 혹은 바디에 포함되어 전달된다. 이 경우 서버의 응답은 application/json 형식으로, 다음과 같다.

{
    "accessToken": "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c",
    "tokenType": "Bearer"
}
//"accessToken"은 발급된 JWT, "tokenType"은 이 토큰이 Bearer 타입임을 뜻함

사용자는 이렇게 반환된 JWT를 가지고 서버에 요청을 보낼 때마다 이 토큰을 Authorization 헤더에 포함시킨다. 서버는 이 토큰을 해독하여 사용자를 인증할 수 있다.

JWT의 보안 취약점

JWT는 정보를 안전하게 전송하는 방법을 제공하지만, 여전히 몇 가지 주의 사항이 있다.

1. 토큰 노출 : JWT는 클라이언트 사이드에서 저장되고 관리되므로, XSS(크로스 사이트 스크립팅)나 다른 유형의 공격에 노출될 수 있다. 따라서 클라이언트 사이드에서는 JWT를 안전하게 보관해야 한다. 또한, JWT는 클라이언트에서 읽을 수 있는 형태로 저장되므로, 민감한 정보는 토큰에 포함되지 않도록 주의해야 한다. (신상정보, 실제 비밀번호 등)