JWT

JWT

• Json 포맷을 이용하여 사용자에 대한 속성을 저장하는 Claim 기반의 Web Token

• JWT는 토큰 자체를 정보로 사용하는 Self-Contained 방식

[ JWT 사진 ]

JWT 특성

• Header, Payload, Signature의 3 부분

• 각 부분은 Base64로 인코딩

• 각각의 부분을 이어 주기 위해 . 구분자를 사용

JWT Header

• 토큰의 헤더는 typ과 alg 두 가지 정보로 구성
  
  

  • typ : 토큰 타입 지정 ex) JWT
    
    

  • alg : 알고리즘 방식 지정 , 서명 및 토큰 검증에 사용한다. ex) HS256(SHA256) 또는 RSA

• alg는 헤더(Header)를 암호화 하는 것이 아니다 서명을 해싱하기 위한 알고리즘을 지정

JWT PayLoad

• 토큰에서 사용할 정보의 조각들인 클레임이 담겨 있다.
  
  

• 클레임은 총 3가지로 나누어 지며 Json 형태로 다수의 정보를 넣을 수 있다.

  • 등록된 클레임(Registered Claim)

    • 토큰 정보를 표현하기 위해 이미 정해진 종류의 데이터
      
      

    • JWT를 간결하기 위해 key는 모두 길이 3의 String
      
      

    • Subejct로는 unique한 값을 사용한다 (이메일이나 학번과 같은 값)
      
      

      • iss: 토큰 발급자(issuer)
        
        
      • sub: 토큰 제목(subject)
        
        
      • aud: 토큰 대상자(audience)
        
        
      • exp: 토큰 만료 시간(expiration), NumericDate 형식으로 되어 있어야 함 ex) 1480849147370
        
        
      • nbf: 토큰 활성 날짜(not before), 이 날이 지나기 전의 토큰은 활성화되지 않음
        
        
      • iat: 토큰 발급 시간(issued at), 토큰 발급 이후의 경과 시간을 알 수 있음
        
        
      • jti: JWT 토큰 식별자(JWT ID), 중복 방지를 위해 사용하며, 일회용 토큰(Access Token) 등에 사용

        • 공개 클레임(Public Claim)

        • 사용자 정의 클레임으로, 공개용 정보를 위해 사용
          
          
        • 충돌 방지를 위해 URI 포맷

      { "https://mangkyu.tistory.com": true }

      
      

  • 비공개 클레임(Private Claim)

    • 사용자 정의 클레임으로, 서버와 클라이언트 사이에 임의로 지정한 정보를 저장
      
      

      "token_type": access 

      
      

JWT Signature

• 서명(Signature)은 토큰을 인코딩하거나 유효성 검증을 할 때 사용하는 고유한 암호화 코드

• 서명(Signature)은 위에서 만든 헤더(Header)와 페이로드(Payload)의 값을 각각 BASE64로 인코딩

• 인코딩한 값을 비밀 키를 이용해 헤더(Header)에서 정의한 알고리즘으로 해싱

• 이 값을 다시 BASE64로 인코딩하여 생성