JWT(Json Web Token)
JWT 구조
JSON 형태인 각 부분을 Base64로 인코딩하고 . 을 사용해 구분하여 표현한다.
1) 헤더
typ, alg 두 가지 정보로 구성됨.
- typ: 토큰의 타입을 지정 ex) JWT
- alg: 알고리즘 방식을 지정하며, 서명(Signature) 및 토큰 검증에 사용 ex) HS256(SHA256) 또는 RSA
{
"alg": "HS256",
"typ": JWT
}
2) PayLoad
토큰에 담을 정보를 Claim이라는 Json 형태의 조각들로 payLoad에 넣어준다.
클레임의 종류에는 3가지가 있다.
- registered 클레임
- public 클레임
- private 클레임
1. registered 클레임
- iss: 토큰 발급자(issuer)
- sub: 토큰 제목(subject)
- aud: 토큰 대상자(audience)
- exp: 토큰 만료 시간(expiration), NumericDate 형식으로 되어 있어야 함 ex) 1480849147370
- nbf: 토큰 활성 날짜(not before), 이 날이 지나기 전의 토큰은 활성화되지 않음
- iat: 토큰 발급 시간(issued at), 토큰 발급 이후의 경과 시간을 알 수 있음
- jti: JWT 토큰 식별자(JWT ID), 중복 방지를 위해 사용하며, 일회용 토큰(Access Token) 등에 사용
2. public 클레임
공개 클레임은 사용자 정의 클레임으로, 공개용 정보를 위해 사용된다. 충돌 방지를 위해 URI 포맷을 이용
{
"https://dnjscksdn98.com/jwt_claims/is_admin": true
}3. private 클레임
사용자 정의 클레임으로 클라이언트와 사전에 협의 후 임의로 지정한 정보를 저장
{
"username": "velopert"
}3) 서명
서명은 위에서 만든 헤더(Header)와 페이로드(Payload)의 값을 각각 BASE64로 인코딩하고, 인코딩한 값을 비밀 키를 이용해 헤더(Header)에서 정의한 알고리즘으로 해싱을 하고, 이 값을 다시 BASE64로 인코딩하여 생성한다.
참고
[JWT] JSON Web Token 소개 및 구조 (velog.io)
[JWT] JSON Web Token 소개 및 구조
JSON Web Token이란? JSON Web Token (JWT) 은 웹표준 (RFC 7519) 으로서 두 개체에서 JSON 객체를 사용하여 가볍고 자가수용적인 (self-contained) 방식으로 정보를 안전성 있게 전달해주고, 사용자에 대한 속성을
velog.io
[Server] JWT(Json Web Token)란? - MangKyu's Diary (tistory.com)
[Server] JWT(Json Web Token)란?
현대 웹서비스에서는 토큰을 사용하여 사용자들의 인증 작업을 처리하는 것이 가장 좋은 방법이다. 이번에는 토큰 기반의 인증 시스템에서 주로 사용하는 JWT(Json Web Token)에 대해 알아보도록 하
mangkyu.tistory.com