🪙

Login with JWT(Json Web Token)

JWT를 알아야 하는 이유

데스크톱 뿐만 아니라 모바일에서도 동일한 인터페이스로 로그인을 구현하고 싶다면

이 문서를 보고 나면

JWT를 이용하여 로그인 기능을 구현할 수 있다.

JWT를 이용한 Login 흐름

클라이언트에서 로그인을 처리하기 위한 방법에는 여러 가지가 있습니다. 이번 미션에서 그중 우리는 JWT를 이용한 방법을 이용할 것입니다. JWT는 모바일과 웹의 인증을 위해 사용하는 대표적인 도구 중 하나인데요. 인증에 필요한 정보들을 암호화시킨 토큰을 의미합니다. 이 JWT를 이용하여 Access Token을 HTTP Header에 포함하여 서버로 API를 요청하는 방법입니다.

JWT

JWT 는 필요한 모든 정보를 자체적으로 지니고 있습니다. 그래서 별도의 데이터베이스 없이도 해당 토큰의 유효성을 검증할 수 있습니다.

•

Header: 위 3가지 정보를 암호화할 방식과 타입이 들어간다.

•

Payload: 서버에서 보낼 데이터가 담긴다. 일반적으로 유저의 고유 id값, 유효기간이 들어간다.

•

Signature: Base64 방식으로 인코딩한 Header,payload 그리고 SECRET KEY를 더한 후 서명된다.

Authentication 흐름

사용자가 로그인을 한다.

서버에서는 계정정보를 읽어 사용자를 확인 후, 사용자의 고유한 ID값을 부여한다. 그리고 기타 정보와 함께 Payload에 넣는다.

•

JWT 토큰의 유효기간을 설정한다.

암호화할 SECRET KEY를 이용해 ACCESS TOKEN을 발급한다.

클라이언트는 Access Token을 받아 저장한다.

클라이언트는 인증이 필요한 요청마다 토큰을 헤더에 실어 보낸다.

서버에서는 해당 토큰의 Verify Signature를 SECRET KEY로 복호화한 후, 조작 여부, 유효기간을 확인한다.

검증이 완료된다면, Payload를 디코딩하여 사용자의 ID에 맞는 데이터를 가져온다.

Bearer HTTP Authentication

API에 접속하기 위해서는 access token을 API 서버에 제출해서 인증을 해야 합니다. JWT 토큰을 사용하여 인증하는 경우 인증 타입을 bearer 로 사용하고 이러한 인증 방법을 Bearer Authentication라고 합니다. 일반적으로 토큰은 아래처럼 요청 헤더의 Authorization 필드에 담아져 보냅니다.

Authorization: <type> <credentials>
JSON
복사

인증 타입은 bearer 이외에도 Basic, Digest, HOBA, Mutual 등이 있습니다.

정리

•

JWT는 인증에 필요한 정보들을 암호화시킨 토큰을 의미한다.

•

JWT는 Header, Payload, Signature로 구성되어 있다.

•

JWT 토큰을 사용하여 인증하는 방법을 Bearer Authentication라고 한다.

참고 링크

•

HTTP 인증

•

토큰 기반 인증에 대한 소개